macOS向けのデスクトップパスワード同期を構成する
macOS向けのOktaデスクトップパスワード同期は、AppleのPlatform Single Sign-On(Platform SSO)機能を使用することで、ユーザーが記憶しなければならないパスワードの数を減らします。デスクトップパスワード同期を構成してデプロイすると、ユーザーは、デバイスの登録と、ローカルアカウントとOktaのリンクを求められます。登録が完了すると、ローカルアカウントのパスワードはOktaのパスワードと同期され、ユーザーはOktaのパスワードを使ってmacOSにサインインできます。デスクトップパスワード同期は、ユーザーのローカルmacOSパスワードをユーザーのOktaパスワードに置き換えます。
Admin Consoleでデスクトップパスワード同期アプリ統合をセットアップした上で、モバイルデバイス管理(MDM)ソリューションでデバイス管理プロファイルを構成します。プロファイルを特定のユーザーやグループにプッシュして、直ちに登録することができます。
構成によっては、デスクトップパスワード同期の登録フローがユーザーをOkta FastPassに登録し、Touch IDを有効化する場合があります。Okta FastPassで管理者とorgの構成に基づく生体認証が求められる場合、ユーザーはデスクトップパスワード同期の登録フローを開始する前にTouch IDをセットアップする必要があります。
Oktaは、Ventura(13.0)以降を使用するmacOSコンピューターのPlatform SSOをサポートします。Platform SSO 2.0のサポートは、Sonoma(14.0)以降を使用するmacOSコンピューターで利用できます。Platform SSO 2.0では、ユーザーはmacOSログインウィンドウから直接デスクトップパスワード同期を利用できます。
orgがPlatform SSO 2.0を利用している場合、ユーザーが登録できるOktaアカウントはデバイスごとに1つのみです。たとえば、ユーザーがuser@company.comとしてデスクトップパスワード同期に登録され、デバイスのローカルアカウントと同期されている場合、デバイスが出荷時の設定に復元されない限り、user@company.comは同じOktaユーザーの第2のローカルアカウントを登録できません。「デスクトップパスワード同期ユーザーをサポートする」を参照してください。
前提条件
次の要件が満たされていることを確認します。
- Okta Identity Engine orgを利用できる。
- orgでOkta Verify Authenticatorがセットアップされている。
- macOSコンピューターがmacOS Ventura(13.0以降、ベストプラクティスは13.5)を実行している。
- コンピューターでmacOS Sonoma(14.0)以降を実行しているときは、Platform SSO 2.0プロトコルを使用します。
- Platform SSO 2.0を使用するには、デスクトップパスワード同期の構成前にデバイスアクセスSCEP証明書をセットアップします。
- デバイスは、ペイロードのデプロイメントをサポートするモバイルデバイス管理(MDM)ソフトウェアに登録することが必要。
- ユーザーのパスワードが構成されている必要がある。これは、パスワードなしのサインインフローとは異なることに注意してください。パスワードなしのサインインフローでは、バックグラウンドにパスワードがありますが、認証時にそのパスワードが使用されることはありません。真のパスワードなしユーザーには、パスワードは設定されません。
- orgでデスクトップパスワード同期アプリを使用できる。アプリカタログでデスクトップパスワード同期アプリが見つからない場合は、アカウント担当者までお問い合わせください。
- オプション:orgでユーザー認証に生体認証が必要な場合、ユーザーはデスクトップパスワード同期の登録フローを開始する前にTouch IDをセットアップする必要があります。
- デスクトップパスワード同期をデプロイする前にmacOSパスワードの有効期限を無効にする。
- orgでパスワードのローテーションが必要な場合は、有効期限を必要とするOktaアカウントに有効期限を追加してください。
タスク
デスクトップパスワード同期アプリ統合を作成して構成する
-
Oktaテナントにスーパー管理者としてサインインします。
-
Admin Consoleで、 に移動します。
-
[Desktop Password Sync(デスクトップパスワード同期)]を検索し、アプリを選択します。
-
[Add integration(統合を追加)]をクリックします。「This feature isn’t enabled(この機能は有効化されていません)」というエラーメッセージが返されるときは、アカウント担当者に連絡してください。
-
[デスクトップパスワード同期]を[アプリケーション]リストから開いて構成します。
-
[General(一般)]タブでは、アプリケーションラベルを編集することも、デフォルトのラベルを使用することもできます。
-
[Sign On(サインオン)]タブで、クライアントIDをメモします。これは、MDMでマネージド アプリ構成を作成するときに必要になります。
-
[Assignments(割り当て)]タブで、アプリを個々のユーザーまたはグループに割り当てます。デスクトップパスワード同期を使用するには、ユーザーはアプリに割り当てられている必要があります。
-
-
[Save(保存)]をクリックします。
Okta Verify for macOSをダウンロードする
デスクトップパスワード同期は、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。Admin ConsoleでOkta Verify for macOSをダウンロードします。Okta Verifyパッケージは、アプリストアからではなくAdmin Consoleからダウンロードする必要があります。Okta Device Access製品が有効化されているorgであれば、デスクトップパスワード同期を構成、デプロイできます。詳しくは、アカウント担当者までお問い合わせください。
に移動し、