SaaS

Okta Identity EngineでのDevice Trustを検証してみた -macOS編-

こんにちは! SaaS検証チームのたつみんです。
Okta Identity Engine(以下OIE)で利用可能になったOkta Device Trustを検証しましたのでご紹介いたします。

注意

2021年11月18日現在、OIEは新規発行されるテナントに限り適用されます。これまでのOkta Classic EngineからOIEへ移行する時期や方法については別途Okta社からのアナウンスをお待ちください。

それでは早速設定方法についてみてみましょう。

参照ドキュメント

検証にあたり参照したドキュメントは以下の通りです。

  • 前提条件について
  • Jamf Proを利用した動的SCEPチャレンジの設定について

前提条件

macOSでのデバイストラストを実現するには下記の3点が前提条件となります。

  • macOS 10.15.x (Catalina), and 11 (Big Sur)
  • Safari (Credential SSO Extensionが必要), Chrome
  • macOS版Okta Verifyアプリを利用しアカウントを紐づけている

なお、ドキュメントには記載がありませんでしたが、macOS 12 Montereyでも動作することを確認しております。

設定方法

Okta事前準備

  1. OktaのSecurity>Device integrations>Endpoint Management>Add Platformをクリックします。
  2. Desktop (Windows and macOS only)を選択し、Nextをクリックします。
  3. SCEP URL challenge typeをDynamic SCEP URLGenericを選択し、Generateをクリックします。
  4. SCEP URLとChallenge URLとUsernameおよびPasswordを控えておきます。

Jamf Pro SCEP設定

  1. コンピュータ>構成プロファイル>新規をクリックします。
  2. 一般タブでプロファイルの名称を入力(今回はOIE_DynamicSCEPとしました)
  3. レベルはComputer Levelを選択します。

  4. SCEPタブ内の構成をクリックします。
  5. URLにOktaで発行したSCEP URLを入力します。
  6. 名称はわかりやすいものを入力します。(今回はOIEとしました)
  7. 件名はO=UUID,CN=$UDIDを入力します。
  8. チャレンジタイプはDynamic-Microsoft CAを選択します。
  9. SCEP管理者のURLにOktaで発行したChallenge URLを入力します。
  10. ユーザー名およびパスワードもそれぞれOktaで発行した値を入力します。
  11. キーサイズを2048とし、デジタル署名として使用にチェックを入れます。
  12. キーチェーンからのexportを許可のチェックを外します。
  13. すべての App にアクセスを許可にチェックを入れます。
  14. 保存をクリックします。

Jamf Pro SSO拡張機能設定

  1. コンピュータ>構成プロファイル>新規をクリックします。
  2. 一般タブでプロファイルの名称を入力(今回はOIE_Extensible SSOとしました。)
  3. レベルはComputer Levelを選択します。

  4. シングルサインオン拡張機能タブで追加をクリックします。
  5. 拡張識別子にcom.okta.mobile.auth-service-extensionを入力します。
  6. チーム識別子にB7F62B65BNを入力します。
  7. サインオンタイプはCredentialを選択します。
  8. レルムにOkta Deviceを入力します。
  9. ホストにOktaのURLを入力します。この時https://は不要です。
  10. 保存をクリックします。

最後に、忘れずに作成した2つの構成プロファイルを対象端末に配布します。

Oktaアプリケーションサインオンポリシー設定

  1. Okta管理画面からDevice Trustをアクセスの条件にしたいアプリケーションを選択します。
  2. Sign Onタブの下にあるSign On PolicyからAdd Ruleをクリックします。
  3. Device state isをRegisteredにし、Device management isをManagedにし、Saveをクリックします。

  4. 最終的に以下のようなサインオンポリシーとなっているかを確認します。

サインオンポリシーは上から判定されルールに該当しない場合に次のルールに一致するかどうかを確認します。今回の例ではDevice Trustに合致しない場合はCatch-all Ruleにてアクセスを拒否する設定としています。

動作確認

Oktaアプリケーション制御の確認

  1. 端末側でJamf Proで配布した構成プロファイルが適用されているかを確認します。
  2. Oktaにログインしている場合は一度、ログアウトしてから再度ログインをします。
  3. 対象アプリケーションにアクセス可能かを確認します。

なお、正常にアクセスできなかった場合は以下のような表示となります。

Devices上の確認

Okta管理画面のDirectory内のDevicesに該当端末のStatusがManagedとなっていることを確認します。

最後に

簡単にではありますがmacOSにおけるOkta Device Trustの設定方法をご案内いたしました。これまでのOkta Classic Engineの時よりも設定が容易になったように思います。

次回はWindowsにおけるデバイストラストの設定方法をご紹介いたします。それではまた〜🤗

たつみん

事業会社の情シスからクラウドネイティブにJoin!
好きなものはF1海外観戦とベルギービール!
集中力の質は深く長く遅い典型的なシングルタスクタイプです。