Konfigurieren von Simplified Setup für Platform SSO mit Jamf Pro und Okta

Über Okta Platform Single Sign-on für macOS

Introduced in macOS 26 ist Simplified Setup eine neue Methode zur Anforderung der Platform SSO (PSSO)-Registrierung während der automatisierten Geräteregistrierung im Setup Assistant, die auch die Erstellung des ersten lokalen Benutzerkontos auf macOS mit Just-in-Time-Kontoerstellung ermöglicht.

Mit dieser Funktion müssen sich Benutzer bei ihrem Identitätsanbieter registrieren, bevor sie mit der Geräteeinrichtung fortfahren können. Das erste Benutzerkonto wird dann vom Identitätsanbieter (IdP) der Organisation des Benutzers erstellt und verwaltet.

Nützlich für:

1:1-Computerbereitstellungen
Aktivieren von MDM-Verwaltung auf Benutzerebene für den identitätsgestützten Benutzer im Setup Assistant
Zero-Touch-Bereitstellung und Compliance-Durchsetzung

Anweisungen

Erstellen und Konfigurieren der Platform Single Sign-on-App in Okta

Melden Sie sich als Super Admin bei Ihrer Okta-Organisation an.
Gehen Sie zu Applications > Applications > Catalog und Browse App Catalog. Suchen Sie nach Platform Single Sign-on for macOS.
Klicken Sie auf Add Integration.

Hinweis: Diese Anwendung ist nur für Kunden mit Okta Device Access (ODA)-Lizenzierung verfügbar.

Öffnen Sie Platform Single Sign-on aus Ihrer Anwendungsliste.

Auf der Registerkarte General können Sie die App-Bezeichnung bearbeiten oder die Standardbezeichnung verwenden.

Auf der Registerkarte Sign on notieren Sie sich die Client ID. Dies ist erforderlich für die verwaltete App-Konfiguration für Okta Verify in Ihrer MDM-Bereitstellung.
Um Desktop Password Sync zu verwenden, müssen Benutzer die Platform Single Sign-on-App zugewiesen haben. Weisen Sie die App Einzelbenutzern oder Gruppen auf der Registerkarte Assignments zu.
In Directory > Profile Editor im Okta-Mandanten finden Sie Platform Single Sign-On for macOS User.
Fügen Sie zwei neue Attribute hinzu:

macOSAccountFullName

macOSAccountUsername

Es sollten nun zwei benutzerdefinierte Attribute für die PSSO-App vorhanden sein.

Gehen Sie in der Platform Single Sign-On for macOS-Anwendung in Okta zur Registerkarte Authentication und klicken Sie auf den Link Configure profile mapping.
Wählen Sie die Registerkarte Okta User to Platform Single Sign-On for macOS. Die neuen benutzerdefinierten Attribute sollten dort sichtbar sein.
Konfigurieren Sie die Einstellungen für das, was am besten für Ihre Organisation geeignet ist.
Verwenden Sie die Schaltfläche Preview unten, um zu bestätigen, dass die Attribute wie erwartet abgerufen werden.
Klicken Sie auf Save Mappings.

Okta als CA mit dynamischer SCEP-Herausforderung für macOS hinzufügen

Navigieren Sie im Okta-Admin-Portal zu Security > Device Integrations. Wählen Sie Device Access und dann Add SCEP Configuration.
Wählen Sie Dynamic SCEP URL und dann Generate.
Notieren Sie sich die SCEP URL, Challenge URL, Username und Password. Diese werden benötigt, um die bereitstellbare Konfiguration in Jamf Pro zu erstellen.
Klicken Sie auf Save.

Erstellen des Platform SSO-Profils für die Bereitstellung in Jamf Pro

Navigieren Sie zu Computers > Configuration Profiles und erstellen Sie ein neues Profil für die Bereitstellung.
Legen Sie einen Name, eine Description und eine Category fest. Stellen Sie sie auf Computer Level bereit, und setzen Sie die Verteilung auf Install automatically.
Suchen Sie das Associated Domains-Payload und wählen Sie Add. Fügen Sie zwei App Identifiers hinzu:

App Identifier: B7F62B65BN.com.okta.mobile.auth-service-extension Associated Domain: authsrv:<org-tenant>.okta.com

App Identifier: B7F62B65BN.com.okta.mobile Associated Domain: authsrv:<org-tenant>.okta.com
Suchen Sie anschließend das Single Sign-On Extensions-Payload und klicken Sie auf Add.

Payload type: SSO

Extension Identifier: com.okta.mobile.auth-service-extension
Team Identifier: B7F62B65BN
Sign-on Type: Redirect
URLs (verwenden Sie die Schaltfläche Add, um ein zweites Eingabefeld zu generieren)

https://<org-tenant>.okta.com/device-access/api/v1/nonce

https://<org-tenant>.okta.com/oauth2/v1/token
Fahren Sie mit der Konfiguration im Setting-Bereich des Single Sign-On Extension-Payloads fort:

Use Platform SSO: Include

Authentication method: Password

FileVault Policy (Apple silicon): Attempt & Include
User login policy: Attempt & Include
Screensaver unlock policy: Attempt & Include
Enable registration during setup: Enable & Include
Create first user during Setup: Enable & Include

New user creation authentication method: Password & Include

Use Shared Device Keys: Enable & Include
Account Display Name: Include (z. B. Company IT)
Fügen Sie drei Payloads unter Application & Custom Settings > Upload hinzu.

com.okta.mobile.auth-service-extension

Property List-Beispiel:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-PSSO-app-client-id</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>

com.okta.mobile

Property List-Beispiel:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
</dict>
</plist>

com.apple.preference.security

Property List-Beispiel:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>

Fügen Sie Ihren gewünschten Scope für die Bereitstellung hinzu.
Klicken Sie auf Save.

Erstellen Sie die SCEP-Konfiguration in Jamf Pro

Navigieren Sie zu Computers > Configuration Profiles und erstellen Sie ein neues Profil für die Bereitstellung.
Legen Sie einen Name, eine Description und eine Category fest. Stellen Sie sie auf Computer Level bereit, und setzen Sie die Verteilung auf Install automatically.
Gehen Sie zum SCEP-Payload und klicken Sie auf Configure.
Konfigurieren Sie wie folgt:

URL: die SCEP URL, die beim Konfigurieren der dynamischen SCEP-Herausforderung im Okta-Mandanten bereitgestellt wurde

Name: geben Sie einen Namen ein (z. B. CA-OKTA)
Redistribute Profile: legen Sie einen Wert basierend auf den Organisationseinstellungen fest (z. B. 14 Tage)
Subject: fügen Sie eine Subject-Name-Vorlage hinzu
Beispiel-Subject-Name: CN=$SERIALNUMBER ODA $PROFILE_IDENTIFIER
Challenge Type: Dynamic-Microsoft CA
Key size: 2048
Aktivieren Sie Use as digital signature.
Deaktivieren Sie Allow export from keychain.
Aktivieren Sie Allow all apps access.
Klicken Sie auf Save.

Erstellen Sie eine PreStage Enrollment für Platform SSO in Jamf Pro

Navigieren Sie in Jamf Pro zu Computers > PreStage Enrollments.
Erstellen Sie eine neue PreStage Enrollment. Legen Sie organisatorisch bevorzugte Optionen im Bereich General fest.
Aktivieren Sie unter Enrollment Requirements die Option Enable Simplified Setup for Platform Single Sign-on (macOS 26 or later).
Ändern Sie die Minimum required macOS version auf 26.0.
Legen Sie die Platform Single Sign-on App Bundle ID auf com.okta.mobile fest.
Stellen Sie unter Configuration Profiles sicher, dass das PSSO-Profil und das SCEP-Profil enthalten sind.
Beziehen Sie in Enrollment Packages ein Okta Verify-Installer (Version 9.52 oder später) ein.
Klicken Sie auf Save.