汎用MDMを使用してSecure Enclaveのデバイス構成プロファイルを構成する
早期アクセスリリース
このガイドでは、Secure Enclaveで保護されたキーを使用して、プラットフォームSSOで必要なデバイス管理プロファイルを構成するための一般的な手順を説明します。
プラットフォームSSO認証が有効で拡張可能なシングルサインオン(SSO)ペイロードデプロイメントをサポートするモバイルデバイス管理(MDM)ソリューションであれば、どのようなものでも使用できます。
PSSOのメリット、前提条件、バージョンの互換性の詳細については、「 プラットフォームSSO用macOS 」を参照してください。
このタスクを開始する
このガイドでは、デバイスバウンドシングルサインオンの構成に必要な手順を説明します。この機能は、Secure Enclaveで保護されたキーを使用するために必要です。これらの手順に従うと、デバイスバウンドSSOに追加の手順は必要ありません。
完全な機能を有効にするには、次の3種類の構成プロファイルを作成してデプロイ必要があります。
-
コンピューターレベルでデプロイされた、拡張可能なシングルサインオンプロファイル。
-
関連するドメインのペイロード。これは、シングルサインオン機能(SSO)拡張と同じプロファイル内にすることができます。
-
orgのURL、ユーザー名、クライアントID、プラットフォームSSOプロトコルバージョンが含まれる管理対象アプリ構成。ユーザー名とクライアントIDはプラットフォームSSOに固有です。ユーザー名とクライアントIDのスコープをSSO拡張ドメインのみに設定します。Oktaドメインごとに個別のエントリを追加します。
ほとんどのMDMソリューションでは、これらのプロファイルを含むカスタム.plistファイルをアップロードできます。
このガイドでは、orgのURL(たとえばhttps://customerorg.okta.com)を指定することを求められた場合は、独自のOkta orgアドレスを使用し、毎回同じorg URLを使用します。
カスタムドメインを構成した場合には、そのカスタムドメインのURLを使用します。
SSO拡張機能プロファイルを構成する
SSO拡張機能は、ユーザーがデバイスのロックを解除した後、macOSサインイン認証をユーザーのセッションに拡張します。ユーザーはデバイスに紐づいた資格情報を使ってコンピューターのロック解除とサインインを行うことができます。
次のパラメーターを使ってMDMプロファイルを作成します。
|
キー |
値 |
|---|---|
|
ペイロードタイプ(Payload type) |
|
|
拡張機能の識別子(Extension Identifier) |
|
|
チーム識別子(Team Identifier) |
|
|
タイプ |
|
|
認証方法(Authentication method) |
|
|
共有デバイスキーを使用(Use Shared Device Keys) |
|
|
プラットフォームSSOの使用(Use Platform SSO) |
|
|
設定時に登録を有効にする(Enable registration during setup) |
macOS 26 Tahoe以降のセットアップアシスタントでプラットフォームSSOを使用している場合は、これを |
|
アカウント表示名(Account Display Name) |
アカウントの通知や認証要求で使用される表示名。 これは特定のユーザーアカウントレベルではなくシステムレベルで設定されるため、この値はすべてのユーザーに表示されます。 |
|
URL(URLs) |
次のパスを含むOkta orgのURLを追加します。
例:
|
汎用SSO拡張機能プロファイルの例
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PlatformSSO</key>
<dict>
<key>AccountDisplayName</key>
<string>Company Name</string>
<key>AuthenticationMethod</key>
<string>UserSecureEnclaveKey</string>
<key>UseSharedDeviceKeys</key>
<true/>
</dict>
<key>ExtensionIdentifier</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>Hosts</key>
<array/>
<key>TeamIdentifier</key>
<string>B7F62B65BN</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<string>https://customerorg.okta.com/device-access/api/v1/nonce</string>
<string>https://customerorg.okta.com/oauth2/v1/token</string>
<string>https://customerorg.okta.com/v1/auth/device-sign</string>
</array>関連ドメインを構成する
このペイロードは、Okta org URLをOkta Verifyアプリに安全にリンクします。
|
キー |
値 |
|---|---|
|
ペイロード |
|
|
アプリケーション識別子(Application Identifier) |
|
|
関連ドメイン(Associated Domains) |
Okta orgのURLドメインを追加します(例: 各アプリの識別子には、関連するドメインが必要です。Appleの「関連ドメインに関するドキュメント」を参照してください。 |
汎用関連ドメインの例
<key>PayloadType</key>
<string>com.apple.associated-domains</string>
<key>AssociatedDomains</key>
<array>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile</string>
<key>AssociatedDomains</key>
<array>
<string>authsrv:customerorg.okta.com</string>
</array>
</dict>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
<string>authsrv:customerorg.okta.com</string>
</array>
</dict>
</array>
<!-- Other required payload keys -->カスタム設定ファイルを構成する
これらのペイロードファイルは、多くの場合管理対象アプリ構成と呼ばれ、macOS用のOkta Verifyアプリに特定のOkta設定を提供します。
プラットフォームSSOが機能するには、次の優先ドメインのそれぞれに優先ファイルを作成してデプロイ必要があります。
-
com.okta.mobile -
com.okta.mobile.auth-service-extension -
com.okta.deviceaccess.servicedaemon:任意。デバイスバウンドSSOでのみ必要です。 -
com.apple.preference.security:任意。パスワードのリセットをブロックする場合にのみ必要です。
com.okta.mobile
次の内容のcom.okta.mobileという名前のテキストファイルを作成して保存します。
Okta VerifyまたはOkta FastPass向けに個のファイルがすでに作成されている場合は、プラットフォームSSOで再作成する必要はありません。Secure Enclaveで保護されたキーにも同じ構成を使用できます。
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>次の項目を特定のorg構成に置き換えます。
-
https://customerorg.okta.comはOkta orgのURLです。 -
$USERNAMEは、ユーザーがPSSOに登録するときにOktaユーザー名で自動入力されるオプションの値です。値を指定しない場合、ユーザーはサインイン時にユーザー名を入力する必要があります。
com.okta.mobile.auth-service-extension
次の内容のcom.okta.mobile.auth-service-extensionという名前のテキストファイルを作成して保存します。
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>your-client-ID</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>次の項目を特定のorg構成に置き換えます。
-
https://customerorg.okta.comはOkta orgのURLです。 -
$USERNAMEは、ユーザーがPSSOに登録するときにOktaユーザー名で自動入力されるオプションの値です。値を指定しない場合、ユーザーはサインイン時にユーザー名を入力する必要があります。 -
your-client-IDは、プラットフォームSSOアプリの作成中にコピーしたクライアントID(Client ID) です。この値は、構成された用プラットフォームシングルサインオンアプリ(Platform Single Sign-on app for )macOS の認証(Authentication)タブから取得できます。
com.okta.deviceaccess.servicedaemon
次の内容のcom.okta.deviceaccess.servicedaemonという名前のテキストファイルを作成して保存します。
<plist version="1.0">
<dict>
<key>OktaJoinEnabled</key>
<true/>
</dict>
</plist>これにより、デバイスをOktaに結合し、デバイスバウンドSSOを使用できるようになります。「デバイスバウンドSSOをユーザーデバイスにデプロイする」を参照してください。
プロファイルをデプロイして確認する
MDMソフトウェアを使用して、スコープ内のすべてのコンピューターにプロファイルを配布するか、新たに割り当てられたデバイスのみに配布します。
デバイス管理プロファイルを作成して配布すると、登録が必要であることを示すシステム通知メッセージがユーザーに表示されます。
Secure Enclaveで保護されたキーを使用するプラットフォームSSOは、登録プロセスの一部としてOkta FastPassのセットアップも行います。ユーザーは、すでにOkta FastPassを有効にしているかもしれません。Okta FastPassの生体認証が有効な場合、プラットフォームSSOの登録フローでは、Okta FastPassを正常にセットアップするためにTouch IDをユーザーに要求します。
macOSデバイスでプロファイルのデプロイメントを確認するには:
-
システム設定(System Settings)アプリを開きます。
-
に移動します。
-
優先ドメインごとにデバイス管理プロファイルが表示されることを確認します。
Okta Verifyをデプロイする
最後に、MDMソフトウェアを使用して、登録済みのmacOSデバイスにOkta Verifyアプリをデプロイします。
次の手順