SaaS

Okta Desktop Password Sync for macOSを検証してみた!

こんにちは!たつみんです。

今日は、OktaのパスワードをmacOS端末のローカルアカウントと同期することができるOkta Desktop Password Sync for macOSについて検証しましたのでご紹介いたします。

3行まとめ

  • macOS端末のローカルアカウントをOktaアカウントと紐づけてパスワードを同期できるよ
  • パスワード同期開始後にパスワード変更をした場合の同期条件が癖があるよ
  • パスワード同期は勝手にやってくれるわけでなくユーザー側の作業が必要だよ

はじめに

Okta Desktop Password Sync for macOSはmacOS端末のローカルアカウントをOktaアカウントのパスワードと同期することができます。

Okta Desktop Password Sync for macOSはOkta Device Accessという新しいライセンスとして提供されます。ご利用を検討する場合はOkta取り扱い代理店へお問合せください。

設定後の挙動について

まずはOkta Desktop Password Sync for macOSをセットアップ時やセットアップ後にパスワードを変更した時の挙動についてご案内します。

初回セットアップ時

後述のOkta Desktop Password Syncの構成プロファイルを配布した後にパスワード同期を促す通知が届きます。そこから初回セットアップとして以下の動画のように複数のステップを経て初回のパスワード同期設定を行います。(各ステップについては後述します)

初回セットアップ後にパスワードを変更した時

macOS端末のローカルアカウントもしくはOktaアカウントのパスワードを変更した後のパスワード同期が実行されるのは以下のどちらかの操作が必要です。

  • ロック画面解除時にOktaアカウントのパスワードを入力した場合
  • 端末再起動時を含むネットワークに未接続状態から接続状態になった時に発生する以下の通知からOktaアカウントのパスワードを入力した場合

検証時の環境について

今回の検証では以下の環境で実施しました。

  • Okta Identity Engine環境を利用している
  • 検証macOS端末にOkta Veriyがインストールされている
  • 検証macOS端末がJamf Proで管理されている
  • 検証macOS端末のOSは13.6.1

設定方法

参照ドキュメント(記事執筆時は日本語も提供されていますが英語の方がより詳細に記載されています)

Configure Desktop Password Sync for macOS | Okta
help.okta.com

Oktaでアプリケーションの作成

  1. Okta管理画面>Applications>ApplicationsからBrowse App Catalogをクリックします。
  2. Desktop Password Syncを検索しAdd integrationをクリックします。
    1. Desktop Password Sync機能が利用できるOktaテナント以外ではAdd Integrationをクリックした時にThis feature isn’t enabledと表示され追加することができません。
  3. General Settingsでは特に変更する箇所がないため、Nextをクリックします。
  4. Sign Onも特に変更する箇所がないため、Doneをクリックします。
  5. Assignmentsタブから検証ユーザーをアサインします。
  6. Sign Onタブに表示されているClient IDをコピーしておきます。この値は次の工程であるJamf Pro側設定で利用します。

Authentication Policyについて

作成したアプリケーションDesktop Password Syncには専用のAuthentication Policyが作成されます。今回はデフォルトで設定されているAllowed with passwordのままとしました。

構成プロファイルの配布

Desktop Password Sync for macOSの挙動を制御するための設定を構成プロファイルとして定義し配布します。

設定可能な項目は以下のドキュメントを参照しながら実施しました。

Configure device management profiles for Desktop Password Sync | Okta
help.okta.com
  1. Jamf Pro管理画面のコンピュータ>構成プロファイルから新規をクリックします。
  2. Generalで表示名を設定します。
  3. 左メニューからシングルサインオン拡張機能をクリックし、追加をクリックします。
  4. ペイロードタイプをSSOを選択します。
  5. 拡張識別子にcom.okta.mobile.auth-service-extensionを入力します。
  6. チーム識別子にB7F62B65BNを入力します。
  7. サインオンタイプをリダイレクトを選択します。
  8. URLにhttps://customerorg.okta.com/device-access/api/v1/nonceを入力し、追加をクリックします。
  9. 2つ目のURLにhttps://customerorg.okta.com/oauth2/v1/tokenを入力します。
  10. プラットフォーム SSO を使用するのチェックをOnにします。
  11. 認証方式でパスワードを選択します。 ここまでの設定は以下の通りです。
  12. 左メニューからアプリケーションとカスタム設定内のアップロードをクリックし、追加をクリックします。
  13. 環境設定ドメインでcom.okta.mobileを入力します。
  14. プロパティリストには以下のサンプルを参考に設定します。
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string><https://customerorg.okta.com></string>
</dict>
</plist>
  1. もう一度、追加をクリックします。
  2. 環境設定ドメインでcom.okta.mobile.auth-service-extensionを入力します。
  3. プロパティリストには以下のサンプルを参考に設定します。
  • https://replace-with-your-org-URL
    • 利用しているOktaテナントのURL例:https://example.okta.com/
  • replace-with-your-client-ID
    • Oktaでアプリケーションの作成の手順6.で取得したClient IDの値
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string><https://replace-with-your-org-URL></string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-your-client-ID</string>
</dict>
</plist>

  1. 左メニューから関連するドメインを選択し、構成をクリックします。
  2. アプリ識別子にB7F62B65BN.com.okta.mobile.auth-service-extensionを入力します。
  3. 関連するドメインにauthsrv:https://example.okta.comを入力します。
  4. 最後にScopeタブで適用する端末を指定し、保存をクリックします。

動作確認

macOS端末側での初回セットアップ

Okta Verifyが導入済みのmacOS端末に構成プロファイルが配布されると以下の動画(冒頭で紹介した動画と同一)で行っている各ステップについてご紹介いたします。

  1. 0:00〜0:03 通知をクリック
  2. 0:04〜0:37 ブラウザ上でOktaの認証を実施(macOS版Okta Verifyへのアカウント追加
  3. 0:38〜0:52 macOS端末のパスワード入力
  4. 0:53〜0:57 通知をクリック
  5. 0:58〜1:09 Oktaアカウントのパスワードを入力

以上でmacOS端末でログインしているローカルアカウントがOktaアカウントのパスワードと一致するように変更されました。

パスワード変更時の挙動確認

  1. macOS端末のシステム設定からローカルアカウントのパスワードを変更します。
  2. 端末を再起動すると変更後のローカルアカウントのパスワードでログインできることを確認します。
  3. 画面ロックをかけ解除時にOktaアカウントのパスワードを入力し解除されることを確認します。

この3.の画面ロック解除時にローカルアカウントのパスワードを入力した場合でも解除可能です。この場合はOktaアカウントのパスワードが同期されるイベントは発生しません。

パスワードの同期イベントはロック解除時にOktaアカウントのパスワードを入力することでOkta管理画面で作成したDesktop Password Syncアプリケーションと通信が行われ認証されることで実行されるというイメージです。

この挙動は少し癖があると感じますがユーザーにとっては混乱をしにくい仕様とも言えそうです。

また、2.の再起動を実施した直後にネットワークに接続されることで冒頭でもご紹介した以下の通知がされます。

この通知をクリックした場合はOktaアカウントのパスワードの入力を促すポップアップが表示されますので入力することで同期が行われます。

最後に

Okta Desktop Password Sync for macOSについて検証をしてみましたが最初はパスワード変更時も強制的に同期されると思っていましたが、そうではなく、同期を行うための条件がよくわからず混乱しましたが、Oktaのログを確認しながらなんとか状況掴むことができました。

ただ、一度設定したパスワードを変更する機会はパスワードポリシーで定期変更を求めている場合を除いて減っているのではないかと思います。

仮に変更した場合もユーザーの知らぬ間に強制的に同期されるわけではないのでユーザーへの混乱という意味では逆にこのような仕様のほうがいいのかもしれないと検証と通じて感じるようになりました。

それではまた次の記事でお会いしましょう!

たつみん

事業会社の情シスからクラウドネイティブにJoin!
好きなものはF1海外観戦とベルギービール!
集中力の質は深く長く遅い典型的なシングルタスクタイプです。

記事一覧