デバイスアクセスSCEP証明書をセットアップする

単純証明書登録プロトコル(SCEP)証明書は、Okta Device Accessに必須です。これは、Okta Device Accessに要求される追加の証明書で、管理対象デバイスについて以前に構成された証明書の代わりとなるものではありません。デバイスアクセスSCEP証明書は、モバイルデバイス管理(MDM)ソフトウェアによってデプロイされ、特定のAPIエンドポイントへのアクセス権の付与と呼び出しを行うデバイスの特定に使用されます。デバイスアクセス用の証明書のセットアップは、デバイスの管理ステータスの証明には使用されません。管理証明の詳細については、「認証局を構成する」を参照してください。

macOS Sonoma(14.0)以降を実行するデバイスでデスクトップパスワード同期を使用するには、デバイスアクセスSCEP証明書が必要です。詳細については、「macOS 14向けのデスクトップパスワード同期を更新する」を参照してください。

デバイスアクセスSCEP証明書は管理対象デバイス構成証明に使用されるSCEP証明書とは別途のもので、Okta Device Accessの必須コンポーネントです。

このページ上

OktaをデバイスアクセスのCAとして構成する

Oktaは、次の3つの異なる方法でデバイスアクセスの認証局(CA)として構成できます。

  1. 静的SCEPを使用するCAとして構成する。

  2. 動的SCEPを使用するCAとして構成する。

  3. 委任SCEPを使用するCAとして構成する。

各証明書を構成する際には、Oktaをデバイス管理のCAとして構成する場合と同じプロセスに従います。orgに適したプロセスに従いながら、CAをデバイスアクセスに使用できるようにするために次の2つの小さな変更を行います。

  1. Okta Admin Consoleで、[Security(セキュリティ)][Device Integrations(デバイス統合)]を開き、[エンドポイント管理]タブの代わりに[デバイスアクセス]タブをクリックします。

  2. Jamf ProでSCEPプロファイルを作成する際に、SCEPプロファイルの[レベル][User Level(ユーザーレベル)]の代わりに[Computer Level(コンピューターレベル)]に設定します。

orgとオペレーティングシステムに適したプロセスに従います。

  1. Jamf Proを使用して、macOSの静的SCEPチャレンジを使用するCAとしてOktaを構成する

  2. Jamf Proを使用して、macOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する

  3. MEM(旧Intune)を使用して、macOSの委任済みSCEPチャレンジを使用するCAとしてOktaを構成する

デバイスアクセスの認証局を構成するには、[デバイスアクセス]タブをクリックします。また、MDMでSCEPプロファイルを[コンピューターレベル]に設定することを忘れないでください。

デバイスアクセスに独自の認証局を使用する

デバイスアクセスに独自の認証局を使用できます。

  1. Admin Consoleにサインインします。

  2. [Security(セキュリティ)] [Device Integrations(デバイス統合)]に移動し、[認証局]タブをクリックします。

  3. [Add certificate authority(認証局を追加)]をクリックします。

  4. [デバイスアクセス]ラジオボタンを選択します。

  5. [Browse files(ファイルを参照)]をクリックし、アップロードする適切な証明書ファイルを選択します。証明書がOktaによって自動的にアップロードされ、アップロードが成功するとメッセージが表示されます。証明書の詳細を表示するには、[View root certificate chain details(ルート証明書チェーンの詳細を表示)]をクリックします。

  6. [Save(保存)]をクリックします。

デバイスアクセスに独自の認証局を使用する場合は、デバイス管理に独自のCAを使用する場合と同じプロセスに従います。「管理対象デバイス向けに独自の認証局を使用する」で説明されているプロセスに従ってください。CAをデバイスアクセスに使用できるようにするために次の3つの小さな変更を行う必要があることに注意してください。

  1. Admin Consoleで証明書をOktaにアップロードする前に、[デバイスアクセス]ラジオボタンを選択します。

  2. MDMで、証明書が[Computer Level(コンピューターレベル)]でデプロイされていることを確認します。

  3. エンドポイント管理について説明しているステップはスキップできます。

証明書がアップロードされたら、デバイスアクセスが適切な証明書を見つけて選択できるように、SCEPで発行されたクライアント証明書にカスタム証明書拡張機能を追加します。証明書拡張機能に次の値を追加します。

  • 拡張機能OID:1.3.6.1.4.1.51150.13.1

  • 拡張機能値:1(整数)

証明書拡張機能の形式はCAプロバイダーによって異なります。使用する適切な形式については、プロバイダーのドキュメントを参照してください。たとえば、DigiCertのカスタム拡張機能証明書プロファイルは次のようになります。

コピー 
  {
      "oid": "1.3.6.1.4.1.51150.13.1",
      "critical": true,
      "template": {
        "type": "INTEGER",
        "value": "1"
      }
  }

OktaをデバイスアクセスのCAとして構成した場合、Oktaはユーザーの代わりにこのステップを完了します。

証明書のデプロイメントを検証する

CAのセットアップと証明書のデプロイが完了したら、証明書が予想どおりにorgのデバイスにデプロイされていることを確認します。

  1. Jamf Proによって管理されているmacOSデバイスで、[System Preferences(システム設定)] [Profiles(プロファイル)]を開きます。

  2. [Keychain(キーチェーン)]をクリックして[System(システム)]をクリックします。

  3. クライアント証明書と関連する秘密鍵が存在することを確認します。

  4. OIDが「1.3.6.1.4.1.51150.13.1」であるカスタム拡張機能がクライアント証明書に存在することを確認します。

証明書が必要な設定でデプロイされていることを確認できない場合は、各ステップをもう一度繰り返し、Okta Admin Console[Device Access(デバイスアクセス)]が選択されていることと、MDMで証明書がコンピューターレベルで設定されていることを確認してください。

関連項目

認証局を構成する

クライアント証明書

管理証明に関するよくある質問

Desktop MFA for Windows

Desktop MFA for macOS

macOS向けのデスクトップパスワード同期