Workspace ONEを使用してPSSOのデバイス構成プロファイルを構成する

macOSデスクトップパスワード同期は、Appleプラットフォームシングルサインオン(プラットフォームSSO)機能を使用して、ユーザーのローカルmacOSアカウントのパスワードをOktaパスワードと同期します。

このガイドでは、Omnissa Workspace ONEが管理するmacOSデバイス用にデスクトップパスワード同期を構成してデプロイする方法について詳しく説明します。

開始する前の確認事項

このタスクを開始する

このプロセスには、関連ドメイン(Associated Domains)シングルサインオン拡張機能(Single Sign-On Extensions)カスタム設定(Custom Settings)の3つのキーペイロードがある包括的なデバイスプロファイルをWorkspace ONEコンソールで作成することが含まれます。

  1. デバイスプロファイルを作成する

  2. 関連するドメインペイロードを構成する

  3. シングルサインオン(SSO)拡張機能ペイロードを構成する

  4. カスタム設定ペイロードを構成する

  5. プロファイルを割り当てる

  6. プロファイルのデプロイメントを検証する

デバイスプロファイルを作成する

  1. Workspace ONEコンソールで、リソース(Resources) > プロファイル(Profiles)に移動します。

  2. 追加(Add) > プロファイルを追加(Add Profile)をクリックします。

  3. プロファイルプラットフォーム(Profile Platform)として macOS を選択します。

  4. macOS ページで、以下を選択します。

    • 管理タイプ(Management Type)必須(Imperative)

    • コンテキスト(Context)デバイス(Device)

  5. プロフィールにわかりやすい名前を入力します(例:Okta Platform SSO)。

関連するドメインペイロードを構成する

  1. 新しいプロファイルで、関連ドメイン(Associated Domains)のペイロードを見つけて追加します。

  2. アプリバンドルID(App Bundle ID)フィールドに次のエントリを追加します。

    アプリの識別子

    ドメイン

    B7F62B65BN.com.okta.mobile

    authsrv:{customerorg}.okta.com

    B7F62B65BN.com.okta.mobile.auth-service-extension

    authsrv:{customerorg}.okta.com

    {customerorg}ドメイン(Domain)設定のOkta orgのURLに置き換えます。

シングルサインオン(SSO)拡張機能ペイロードを構成する

  1. SSO拡張機能(SSO Extension)ペイロードを見つけて、プロファイルに追加します。

  2. 次のオプションを構成します。

    設定

    拡張機能の識別子(Extension Identifier)

    com.okta.mobile.auth-service-extension

    これは、Okta拡張機能の識別子です。

    拡張機能のタイプ(Extension Type)

    リダイレクト

    チーム識別子(Team Identifier)

    B7F62B65BN

    URL(URLs)

    次のパスを含むOkta orgのURLを追加します。

    • /device-access/api/v1/nonce

    • /oauth2/v1/token

    • /v1/auth/device-sign

    例:

    • https://customerorg.okta.com/device-access/api/v1/nonce

    • https://customerorg.okta.com/oauth2/v1/token

    • https://customerorg.okta.com/v1/auth/device-sign

    認証方法(Authentication Method)

    パスワード(Password)

    登録トークン(Registration Token)

    この設定は存在する必要がありますが、作成されたSCEPプロファイルがこの値を上書きするため、フィールドには任意の値を入力できます。
    プラットフォームSSO このトグルを有効に切り替えます。

    共有デバイスキーを使用(Use Shared Device Keys)

    有効(Enabled)

    このオプションは、ジャストインタイムローカルアカウント作成にのみ必要です。

    アカウント表示名(Account Display Name)

    アカウントの表示名(例:Okta Platform SSO)。

    この値は、アカウントの通知や認証要求で使用されます。

    これは、ユーザー固有のレベルではなく、システムレベルで設定されます。

  3. ジャストインタイムローカルアカウント作成にデバイス管理プロファイルを構成することを予定している場合は、次のSSO拡張機能設定を追加します。

    設定

    ログイン時にユーザーを作成(Create User at Login)

    有効(Enabled)

    ユーザーマッピング(User Mapping) > フルネーム(Full Name)

    macOSAccountFullName

    ユーザーマッピング(User Mapping) > アカウント名(Account Name)

    macOSAccountUsername

    アカウント認可モード(Account Authorization mode)

    標準(Standard)または管理者(Admin)

    新規ユーザー認可モード(New User Authorization Mode)

    標準(Standard)または管理者(Admin)

カスタム設定ペイロードを構成する

カスタム設定(Custom Settings)ペイロードを見つけて追加します。次のカスタム構成を2つの個別の設定として作成します。

次のキーの文字列値を置き換えます。

  • PayloadUUID:これは各カスタム設定(Custom Settings)プロファイルの個別のUUIDです。これらは、任意のmacOSデバイスでuuidgenコマンドを使用して生成できます。

  • OktaVerify.OrgUrlOkta orgのURLです。

  • OktaVerify.PasswordSyncClientIDOktaインスタンスの固有のクライアントID(例:0oae1su23owTpNqGn456)。

<dict>
	<key>PayloadIdentifier</key>
	<string>com.okta.mobile.[UUID]</string>
	<key>PayloadUUID</key>
	<string>[UUID]</string>
	<key>PayloadOrganization</key>
	<string>Okta</string>
	<key>PayloadType</key>
	<string>com.okta.mobile</string>
	<key>OktaVerify.OrgUrl</key>
	<string>[Okta_Org_URL]</string>
	<key>OktaVerify.UserPrincipalName</key>
	<string>{EmailAddress}</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
	<key>PayloadDisplayName</key>
	<string>Okta Mobile Payload</string>
	<key>PayloadDescription</key>
	<string>Okta Mobile Payload</string>
</dict>
<dict>
	<key>PayloadIdentifier</key>
	<string>com.okta.mobile.auth-service-extension.[UUID]</string>
	<key>PayloadUUID</key>
	<string>[UUID]</string>
	<key>PayloadOrganization</key>
	<string>Okta</string>
	<key>PayloadType</key>
	<string>com.okta.mobile.auth-service-extension</string>
	<key>OktaVerify.OrgUrl</key>
	<string>[Okta_Org_URL]</string>
	<key>OktaVerify.PasswordSyncClientID</key>
	<string>[Password_Sync_Client_ID]</string>
	<key>PlatformSSO.ProtocolVersion</key>
	<string>2.0</string>
	<key>OktaVerify.UserPrincipalName</key>
	<string>{EmailAddress}</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
	<key>PayloadDisplayName</key>
	<string>Okta Mobile Auth Service Extension</string>
	<key>PayloadDescription</key>
	<string>Okta Mobile Auth Service Extension Payload</string>
</dict>

プロファイルを割り当てる

  1. スマートグループ(Smart Group)フィールドをクリックします。表示される割り当てグループ(Assignment Groups)のリストから、適切なグループを選択します。たとえば、すべての企業macOSデバイス(All Corporate Devices)を選択します。

  2. 割り当てタイプ(Assignment Type)自動(Auto)を選択します。

  3. 保存して公開(Save and Publish)をクリックします。

  4. これで、プロファイル(Profiles)リストにOkta Platform SSOデバイスプロファイルが表示されます。

プロファイルのデプロイメントを検証する

  1. macOSデバイスでシステム設定(System Settings)アプリを開きます。

  2. デバイス管理(Device Management) > プロファイル(Profiles)に移動します。

  3. 優先ドメインごとにデバイス管理プロファイルが表示されることを確認します。

次の手順

macOSユーザーをサポートする