SaaS

Okta Identity EngineでのDevice Trustを検証してみた -Android編-

こんにちは! SaaS検証チームのたつみんです。
Okta Identity Engine(以下OIE)のDevice Trust最後の検証はAndroid端末です。

それでは早速いってみましょう!

注意

2021年11月18日現在、OIEは新規発行されるテナントに限り適用されます。これまでのOkta Classic EngineからOIEへ移行する時期や方法については別途Okta社からのアナウンスをお待ちください。

参照ドキュメント

検証にあたり参照したドキュメントは以下の通りです。

  • 前提条件について
  • 秘密鍵の生成
  • MDMプロバイダーとの統合
  • 管理対象のAndroid Enterpriseデバイスにアプリ構成ポリシーを追加
  • Android仕事用プロファイルについて

前提条件

iOSでのデバイストラストを実現するには下記の2点が前提条件となります。

  • Android 7.0以降
  • Chrome

Okta事前準備

  1. OktaのSecurity>Device integrations>Endpoint Management>Add Platformをクリックします。
  2. Androidを選択し、Nextをクリックします。
  3. Secret keyを控えておきます。
  4. Device management providerにわかりやすい名前を入力します。(今回はIntuneとしました)
  5. Enrollment linkはMDM登録されていない場合の誘導先となるURLを入力します。(今回はOktaダッシュボードのURLとしました)

Intune設定

配布するOkta Verifyの準備

  1. アプリ>Android>追加をクリックします。
  2. アプリの種類でマネージドGoogle Play アプリを選び、選択をクリックします。
  3. Okta Verifyを検索し、選択後に承認をクリックします。
  4. 確認画面でもう一度、承認をクリックします。
  5. 承認の設定でアプリの承認を維持しますを選択し、完了をクリックします。
  6. 数分後にIntuneのアプリ>AndroidにOkta Verifyが表示されるので選択します。
  7. プロパティから割り当て>編集をクリックします。
  8. 必須内のグループの追加をクリックし、セキュリティグループを追加します。
  9. レビューと保存で確認し、保存をクリックします。

アプリ構成ポリシー

  1. アプリ>アプリ構成ポリシー>追加>マネージドデバイスをクリックします。
  2. 名前をわかりやすいものを設定します。(今回はOkta Verifyとしました)
  3. プラットフォームにAndroid Enterpriseを選択します。
  4. プロファイルの種類>すべてのプロファイルの種類を選択します。
  5. 対象アプリ>アプリの選択>Okta Verifyを選択し、次へをクリックします。
  6. 構成設定の形式>構成デザイナーを使用するを選択し、+追加をクリックします。
  7. 構成キーにチェックを入れ、Org URLManagement Hintの両方がチェックが入っている状態とし、OKをクリックします。
  8. Management Hintの構成値にOkta事前準備で発行したSecret keyを入力します。
  9. Org URLにOktaのURLを入力し、次へをクリックします。
  10. 組み込まれたグループにセキュリティグループを追加し、次へをクリックします。
  11. 確認および作成で設定内容を確認し、作成をクリックします。

仕事用アプリとしてのOkta Verifyアプリの設定

エンドユーザーは以下の手順でIntuneから配布されたOkta Verifyを利用する必要があります。

  1. AndroidデバイスのIntuneポータルアプリで更新を実行します。
  2. 仕事用アプリとしてOkta Verifyがインストールされます。
  3. すでにインストールしているアプリとは区別されるため、ブリーフケースアイコンが表示されているOkta Verifyアプリを起動し、Oktaアカウントとの紐付けを実施します。
  4. 念の為ですが、すでにインストールしているOkta Verifyでアカウント紐付けをおこなっている場合はアカウント紐付けを解除しておきます。

Okta Authentication policiesの設定

Device Trust用のAuthentication policiesを作成していない場合は以下の手順で作成します。

  1. Okta管理画面のSecurity>Authentication policiesからAdd a policyをクリックします。
  2. 名前をDevice Trustなどわかりやすいものを設定します。
  3. Add Ruleをクリックします。
  4. Device state isをRegisteredにし、Device management isをManagedにし、Saveをクリックします。
  5. 最終的に以下のようなポリシーとなっているかを確認します。
  6. Applicationsタブ内のAdd appをクリックします。
  7. 作成したポリシーを割り当てるアプリケーションのAddボタンをクリックし、最後にCloseをクリックします。

作成したポリシーは上から順番に判定され、ルールに該当しない場合に次のルールに一致するかどうかを確認します。今回の例ではDevice Trustに合致しない場合はCatch-all Ruleにてアクセスを拒否する設定としています。

動作確認

Oktaアプリケーション制御の確認

  1. Oktaにログインしている場合は一度、ログアウトしてから再度ログインをします。
  2. 対象アプリケーションにアクセス可能かを確認します。

Devices上の確認

Okta管理画面のDirectory内のDevicesに該当端末のStatusがManagedとなっていることを確認します。

最後に

Androidの場合もiOSと同様にOktaで発行した秘密鍵を配布し、Okta Verifyと紐づけることでMDM管理下であるデバイスとして認識させることができました。
個人的にAndroid端末に触れる機会が少なくIntuneでの登録といった部分から検証を行いましたが無事にデバイストラストを行うことができました。

次回OIE検証関連で最後に残っていましたEDR連携の記事を予定しています。一癖も二癖もある検証でしたがうまくできましたので記事としてまとめます。

それではまた〜🤗

たつみん

事業会社の情シスからクラウドネイティブにJoin!
好きなものはF1海外観戦とベルギービール!
集中力の質は深く長く遅い典型的なシングルタスクタイプです。