Jamf Proを使用してPSSOのデバイス構成プロファイルを構成する
macOS用デスクトップパスワード同期は、Appleのプラットフォームシングルサインオン(プラットフォームSSO)機能を使用して、ユーザーのローカルmacOSアカウントのパスワードをOktaパスワードと同期します。
このガイドでは、Jamf Proが管理するmacOSデバイス用にデスクトップパスワード同期を構成してデプロイする方法について詳しく説明します。
開始する前の確認事項
-
デバイスアクセス証明書をmacOSデバイスに構成してデプロイしたことを確認します。
-
ユーザーのデバイスはmacOS 14 Sonoma以降で実行している必要があります。
-
Okta Admin ConsoleからOkta Verify PKGファイルをダウンロードします。「用Okta VerifyのダウンロードmacOS 」を参照してください。
-
ライセンス付与されたJamf Pro環境へのアクセス権が必要です。
このタスクを開始する
Jamf Proを使用してプラットフォームシングルサインオン(プラットフォームSSO)用のデバイス構成プロファイルをセットアップするには、次のタスクを順番に実行します。
シングルサインオン(SSO)プロファイルを構成する
-
Jamf Proで、サイドバーのを選択します。
-
新規(New)をクリックします。
-
新しいmacOS構成プロファイル(New Configuration Profile)ペインで、オプション(Options)ペインを選択します。
-
一般(General)セクションで、プロファイルに名前を付けます(例:
Okta Platform SSO)。このページには、説明、サイト、カテゴリーなど、環境に固有のその他の情報も入力できます。これらのフィールドはPSSOのOkta構成には影響しません。
-
レベル(Level)をコンピューターレベル(Computer Level)に設定します。
-
オプション(Options)サイドバーで、をクリックします。
-
追加(Add)を4回クリックします。これにより、4つのカスタムペイロードエントリが作成されます。
-
以下の表の各エントリに優先ドメインペイロードを構成します。
customerorg.okta.comとclientIDをそれぞれOkta orgのURLとクライアントIDに置き換えます。優先ドメイン
プロパティリスト
com.okta.mobile<plist version="1.0"> <dict> <key>OktaVerify.OrgUrl</key> <string>https://customerorg.okta.com</string> <key>OktaVerify.UserPrincipalName</key> <string>$USERNAME</string> <key>PlatformSSO.ProtocolVersion</key> <string>2.0</string> </dict> </plist>com.okta.mobile.auth-service-extension<plist version="1.0"> <dict> <key>OktaVerify.OrgUrl</key> <string>https://customerorg.okta.com</string> <key>OktaVerify.UserPrincipalName</key> <string>$USERNAME</string> <key>OktaVerify.PasswordSyncClientID</key> <string>client ID</string> <key>PlatformSSO.ProtocolVersion</key> <string>2.0</string> </dict> </plist>com.okta.deviceaccess.servicedaemon任意。デバイスバウンドシングルサインオンを有効にする予定の場合は、これを使用します。
<plist version="1.0"> <dict> <key>OktaJoinEnabled</key> <true/> </dict> </plist>com.apple.preference.security任意。ユーザーがローカルアカウントのパスワードを変更できないようにする場合は、これを使用します。
<plist version="1.0"> <dict> <key>dontAllowPasswordResetUI</key> <true/> </dict> </plist> -
保存(Save)をクリックします。
関連ドメインを構成する
-
Jamf Proで、最初の手順で作成した構成プロファイルで編集(Edit)をクリックします。
-
オプションサイドバーで、関連ドメイン(Associated Domains)をクリックします。
-
関連ドメイン(Associated Domains)ページで、構成(Configure)をクリックします。
-
を選択します。
-
追加(Add)をクリックします。
-
インスタンスに以下を入力します。
-
アプリの識別子(App Identifiers):
B7F62B65BN.com.okta.mobile -
関連ドメイン(Associated Domain):
authsrv:を入力し、続いてOkta orgのURLを入力します。例:authsrv:customerorg.okta.com -
直接ダウンロードを有効化(Enable Direct Downloads)チェックボックスが選択されていないことを確認してください。
-
保存(Save)をクリックします。
-
-
追加(Add)をクリックし、別のドメインエントリを作成します。
-
関連するその他のドメインに追加します。
-
アプリの識別子(App Identifiers):
B7F62B65BN.com.okta.mobile.auth-service-extension -
関連ドメイン(Associated Domain):
authsrv:を入力し、続いてOkta orgのURLを入力します。例:authsrv:customerorg.okta.com -
直接ダウンロードを有効化(Enable Direct Downloads)チェックボックスが選択されていないことを確認してください。
-
保存(Save)をクリックします。
-
-
保存(Save)をクリックします。
SSO拡張機能を構成する
-
Jamf Proで、最初の手順で作成した構成プロファイルで編集(Edit)をクリックします。
-
オプション(Options)サイドバーで、シングルサインオン機能拡張(Single Sign-On Extensions)をクリックします。
-
シングルサインオン機能拡張(Single Sign-on Extensions)ページで、追加(Add)をクリックします。
-
次の表に従ってSSO拡張機能を構成します。
customerorg.okta.comをOkta orgのURLに置き換えます。設定
値
ペイロードタイプ(Payload type)
SSO
拡張機能の識別子(Extension Identifier)
com.okta.mobile.auth-service-extensionチーム識別子(Team Identifier)
B7F62B65BNサインオンのタイプ(Sign-on type)
リダイレクト
URL(URLs)
追加(Add)を2回クリックして、URL設定に3つのテキストフィールドがあるようにします。
https://customerorg.okta.com/oauth2/v1/tokenhttps://customerorg.okta.com/device-access/api/v1/noncehttps://customerorg.okta.com/v1/auth/device-signプラットフォームSSOの使用(Use Platform SSO)
含める(Include)
認証方法(Authentication Method)
パスワード(Password)
登録トークン(Registration Token)
この設定は存在する必要がありますが、作成されたSCEPプロファイルがこの値を上書きするため、フィールドには任意の値を入力できます。
共有デバイスキーを使用(Use Shared Device Keys)
有効化
アカウント表示名(Account Display Name)
この値は、macOSが登録プロセス中に送信する通知で使用されます。
必要な資格情報がユーザーに明確にわかる値を使用します(例:
Atko Okta credentials)。 -
ジャストインタイムアカウント作成にデバイス管理プロファイルを構成することを予定している場合は、次のSSO拡張機能設定を追加します。
設定
値
ログイン時に新規ユーザーを作成(Create New User at Login)
有効化
macOSAccountFullNamemacOSAccountUsernameアカウント認可タイプ(Account Authorization Type)
標準(Standard)または管理者(Admin)
新規ユーザーアカウントタイプ(New User Account Type)
標準(Standard)または管理者(Admin)
-
AppleがプラットフォームSSOのmacOS 26 Tahoeで簡素化されたセットアップを導入しました。プラットフォームSSO機能の簡素化されたセットアップを使用することを予定している場合は、次のSSO拡張機能設定を追加します。
設定
値
設定時に登録を有効にする(Enable registration during setup)
有効化
セットアップ中に最初のユーザーを作成(Create first user during Setup)
有効化
新しいユーザー作成の認証方法(New user creation authentication method)
パスワード(Password)
「PreStage登録を作成してセットアップを簡素化する」を参照してください。
-
スコープ(Scope)タブをクリックします。構成プロファイルをターゲットデバイスまたはユーザーに割り当てます。
-
保存(Save)をクリックします。
-
Jamf Proで要求されたら、必要に応じてプロファイルを配布します。
Oktaアカウントマッピングを作成する
このタスクは、ジャストインタイムローカルアカウント作成を構成する場合、またはプラットフォームSSOの簡素化されたセットアップ機能を使用する場合にのみ必要です。
デフォルトでは、Okta usernameがmacOSのユーザー名として使用されます。同様に、結合されたOkta First name + Family name値がmacOSのユーザー表示名に使用されます。
ただし、orgでmacOSのアカウント名と表示名に異なる形式を使用している場合は、これらのマッピング用にカスタム属性を作成する必要があります。
デフォルト値を上書きするには、プロファイルエディターを使ってアプリのカスタム属性を追加してマッピングします。
-
まだ済んでいない場合は、Admin ConsoleからmacOSのプラットフォームシングルサインオン(Platform Single Sign-on for macOS )アプリを追加します。
-
Admin Consoleでに進みます。
-
macOSのプラットフォームシングルサインオン(Platform Single Sign-on for macOS)アプリを検索して開きます。
-
属性を追加(Add Attribute)をクリックします。
-
macOSユーザー名として使用する文字列属性を追加します。
-
表示名(Display name)および変数名(Variable Name)フィールドを
macOSAccountUsernameに設定します。 -
必須属性(Attribute required)(Yes)フィールドのはい(Yes)(Attribute required)チェックボックスを有効にします。
-
保存してほかにも追加(Save and Add Another)をクリックします。
-
-
macOSAccountFullNameという別の文字列属性を追加します。Oktaでは、この属性をmacOSの表示名として使用します。 -
保存(Save)をクリックします。
-
マッピング(Mappings)、ユーザーマッピングを構成(Configure User mappings)の順でクリックします。
-
ユーザープロファイルのマッピング(User Profile Mappings)ダイアログで、OktaユーザーをmacOSのプラットフォームシングルサインオンに(Okta User to Platform Single Sign-on for )macOS タブを選択します。
-
次の属性マッピングを入力します。
-
user.login:macOSAccountUsername -
user.displayName:macOSAccountFullName
-
-
マッピングを保存(Save Mappings)をクリックします。
これらのフィールドをさらに変更する必要がある場合は、別のOkta属性を選択するか、Okta式言語を使用してフィールドに式を追加します。アプリ、ディレクトリ、IDプロバイダーにカスタム属性を追加するとProfile EditorでOkta属性をアプリの属性にマッピングするを参照してください。
PreStage登録を作成してセットアップを簡素化する
任意で、プラットフォームSSO機能のJamf Pro PreStage登録を作成してセットアップを簡素化できます。これにより、デバイスのアクティブ化時にユーザーに表示されるセットアップ画面の数が削減されます。
-
Jamf Proで、サイドバーにあるを選択します。
-
新規(New)をクリックして、PreStage登録(PreStage Enrollment)を作成します。
-
一般(General)セクションと登録要件(Enrollment Requirements)セクションで、会社固有のオプションを設定します。「コンピューターの自動デバイス登録」を参照してください。
-
Appleセットアップアシスタントの使用中にプラットフォームSSOを有効にするには、プラットフォームシングルサインオンの簡素化セットアップを有効化(macOS 26以降)(Enable Simplified Setup for Platform Single Sign-on(macOS 26 or later)オプションを選択します。
-
必須のmacOSバージョン(Minimum required version)を特定のバージョン(Specific version)に変更します。
-
強制するmacOSの最小バージョン(Minimum macOS version to enforce)をmacOS 26 Tahoeの利用可能な最も古いバージョンに設定します 。
-
プラットフォームシングルサインオンアプリのバンドルID(Platform Single Sign-on App Bundle ID)の値を
com.okta.mobileに設定します。 -
サイドバーで構成プロファイル(Configuration Profiles)を選択し、構成(Configure)をクリックします。
-
PSSOプロファイルとSCEPプロファイルを選択します。
-
サイドバーで登録パッケージ(Enrollment Packages)を選択し、構成(Configure)をクリックしてPreStage登録に登録パッケージを追加します。
-
追加(Add)をクリックして、Okta Verifyインストーラーを含めます。Okta Verifyアプリのバージョンは9.52以降である必要があります。
-
PreStage登録のその他の設定を必要に応じて調整し、保存(Save)をクリックします。
Okta Verifyをデプロイする
最後の手順として、登録済みのOkta VerifyデバイスにmacOSアプリをデプロイします。
Jamf Proには、macOSパッケージのさまざまなインストールオプションが用意されています。以下は、Jamf Pro Mac App機能を使用する推奨オプションです。
-
Jamf Proで、サイドバーにあるを選択します。
-
新規(New)をクリックします。
-
アプリソース(App Source)ページで、Jamfアプリカタログ(Jamf App Catalog)オプションを選択します。
注意:Okta VerifyのApple App StoreバージョンはOkta Device Access機能をサポートしていないため、この手順は重要です。
-
次へ(Next)をクリックします。
-
アプリインストーラーソフトウェアタイトルを選択(Select App Installers software title)ページの検索フィールドで、
Okta Verifyを検索します。 -
Okta Verifyの最新バージョンの横にある追加(Add)をクリックします。
-
構成設定(Configuration settings)、セルフサービス(Self Service)およびエンドユーザーエクスペリエンス(End user experience)タブを使用して、デプロイメント計画の任意の設定を構成します。
-
前の手順を完了したら、デプロイ(Deploy)スイッチを切り替えて、デプロイメントオプションを有効にします。
-
保存(Save)をクリックします。
次の手順