Jamf Concepts
Guías

Guías

Configuración de Configuración Simplificada para Platform SSO usando Jamf Pro y Okta

~6 min read

Acerca de Okta Platform Single Sign-on para macOS

Introducido en macOS 26, Configuración Simplificada es un nuevo método para requerir el registro de Platform SSO (PSSO) durante la inscripción automática de dispositivos en Setup Assistant, que también puede crear la primera cuenta de usuario local en macOS con creación de cuenta just-in-time.

Con esta función, los usuarios deben registrarse con su proveedor de identidad antes de continuar con la configuración del dispositivo. La primera cuenta de usuario se crea y es gobernada por el proveedor de identidad (IdP) organizacional del usuario.

Útil para:

  • Implementaciones de computadora 1:1

  • Habilitar la administración de MDM a nivel de usuario para el usuario basado en identidad desde Setup Assistant

  • Aprovisionamiento sin intervención y aplicación de cumplimiento

Instrucciones

Crear y configurar la aplicación de inicio de sesión único de plataforma en Okta

  • Inicie sesión en su organización de Okta como superadministrador.

  • Vaya a Applications > Applications > Catalog y Browse App Catalog. Busque Platform Single Sign-on for macOS.

  • Haga clic en Add Integration.

Nota: esta aplicación solo estará disponible para clientes con licencia de Okta Device Access (ODA).

  • Abra Platform Single Sign-on desde su lista de aplicaciones.

En la pestaña General, puede editar la etiqueta de la aplicación o usar la etiqueta predeterminada.

  • En la pestaña Sign on, tome nota del Client ID. Esto es necesario para la configuración de la aplicación administrada para Okta Verify en su implementación de MDM.

  • Para usar Desktop Password Sync, los usuarios deben tener la aplicación Platform Single Sign-on asignada. Asigne la aplicación a usuarios individuales o grupos en la pestaña Assignments.

  • En Directory > Profile Editor en el tenant de Okta, busque Platform Single Sign-On for macOS User.

  • Agregue dos nuevos atributos:

macOSAccountFullName

  • macOSAccountUsername

Ahora debería haber dos atributos personalizados para que la aplicación PSSO use.

  • De vuelta en la aplicación Platform Single Sign-On for macOS en Okta, vaya a la pestaña Authentication y haga clic en el enlace Configure profile mapping.

  • Seleccione la pestaña Okta User to Platform Single Sign-On for macOS. Los nuevos atributos personalizados deberían ser visibles allí.

  • Configure los ajustes según lo que funcione mejor para su organización.

  • Use el botón Preview en la parte inferior para confirmar que los atributos se extraen según lo esperado.

  • Haga clic en Save Mappings.

Agregar Okta como una CA con desafío SCEP dinámico para macOS

  • En el portal de administración de Okta, navegue a Security > Device Integrations. Seleccione Device Access, luego Add SCEP Configuration.

  • Seleccione Dynamic SCEP URL, luego Generate.

  • Anote la SCEP URL, Challenge URL, Username y Password. Serán necesarios para crear la configuración desplegable en Jamf Pro.

  • Haga clic en Save.

Crear el perfil de Platform SSO para implementación en Jamf Pro

  • Navegue a Computers > Configuration Profiles y cree un nuevo perfil para implementación.

  • Establezca un Name, Description y Category. Implemente a nivel de Computer Level y establezca la distribución en Install automatically.

  • Busque la carga útil Associated Domains y seleccione Add. Agregue dos App Identifiers:

App Identifier: B7F62B65BN.com.okta.mobile.auth-service-extension Associated Domain: authsrv:<org-tenant>.okta.com

  • App Identifier: B7F62B65BN.com.okta.mobile Associated Domain: authsrv:<org-tenant>.okta.com

  • A continuación, busque la carga útil Single Sign-On Extensions y haga clic en Add.

Payload type: SSO

  • Extension Identifier: com.okta.mobile.auth-service-extension

  • Team Identifier: B7F62B65BN

  • Sign-on Type: Redirect

  • URLs (use el botón Add para generar un segundo campo de entrada)

https://<org-tenant>.okta.com/device-access/api/v1/nonce

  • https://<org-tenant>.okta.com/oauth2/v1/token

  • Continúe la configuración en el área Setting de la carga útil Single Sign-On Extension:

Use Platform SSO: Include

Authentication method: Password

  • FileVault Policy (Apple silicon): Attempt & Include

  • User login policy: Attempt & Include

  • Screensaver unlock policy: Attempt & Include

  • Enable registration during setup: Enable & Include

  • Create first user during Setup: Enable & Include

New user creation authentication method: Password & Include

  • Use Shared Device Keys: Enable & Include

  • Account Display Name: Include (p. ej., Company IT)

  • Agregue tres cargas útiles bajo Application & Custom Settings > Upload.

com.okta.mobile.auth-service-extension

Ejemplo de lista de propiedades:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-PSSO-app-client-id</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>

- `com.okta.mobile`

Ejemplo de lista de propiedades:

```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
</dict>
</plist>

- `com.apple.preference.security`

Ejemplo de lista de propiedades:

```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>

- Agregue su **Scope** deseado para la implementación.

- Haga clic en **Save**.

### Crear la configuración de SCEP en Jamf Pro

- Navegue a **Computers > Configuration Profiles** y cree un nuevo perfil para implementación.

- Establezca un **Name**, **Description** y **Category**. Implemente a nivel de **Computer Level** y establezca la distribución en **Install automatically**.

- Vaya a la carga útil **SCEP** y **Configure**.

- Configure de la siguiente manera:

**URL:** la **SCEP URL** proporcionada al configurar el desafío SCEP dinámico en el tenant de Okta

- **Name:** ingrese un nombre (p. ej., `CA-OKTA`)

- **Redistribute Profile:** establezca un valor según la preferencia organizacional (p. ej., `14` días)

- **Subject:** agregue una plantilla de nombre de sujeto

- Ejemplo de nombre de sujeto: `CN=$SERIALNUMBER ODA $PROFILE_IDENTIFIER`

- **Challenge Type:** `Dynamic-Microsoft CA`

- **Key size:** `2048`

- **Check** `Use as digital signature`.

- **Uncheck** `Allow export from keychain`.

- **Check** `Allow all apps access`.

- Haga clic en **Save**.

### Crear una inscripción PreStage para Platform SSO en Jamf Pro

- En Jamf Pro navegue a **Computers > PreStage Enrollments**.

- Cree una nueva **PreStage Enrollment**. Establezca las opciones preferidas organizacionalmente en la sección **General**.

- En **Enrollment Requirements** marque la opción **Enable Simplified Setup for Platform Single Sign-on (macOS 26 or later)**.

- Cambie la **Minimum required macOS version** a `26.0`.

- Establezca el **Platform Single Sign-on App Bundle ID** en `com.okta.mobile`.

- En **Configuration Profiles** asegúrese de que se incluyan el perfil PSSO y el perfil SCEP.

- En **Enrollment Packages** incluya un instalador de Okta Verify (versión 9.52 o posterior).

- Haga clic en **Save**.

## Solución de problemas + Consejos

#### Verificar el estado de PSSO de la cuenta de usuario conectada

Para revisar el estado de PSSO de una cuenta de usuario conectada, ejecute `app-sso platform -s` en **Terminal.app.**

#### No se puede iniciar sesión durante la inscripción automática de dispositivos

Si encuentra el siguiente mensaje de error durante la inscripción:

*The single sign-on extension could not validate the domain. Contact your administrator to help get single sign-on set up.*

Este mensaje a menudo indica que la carga útil de Dominios Asociados no se reconoce durante el registro de acceso a dispositivos con Okta.

## Recursos

🔗 [Platform Single Sign-on for macOS (Apple)](https://support.apple.com/guide/deployment/platform-sso-for-macos-dep7bbb05313/web)

🔗 [Configure Desktop Password Sync for macOS 15 (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/macos-pw-sync/configure-password-sync-for-mac-15.htm)

🔗 [Desktop Password Sync for macOS (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/macos-pw-sync/configure-macos-password-sync.htm)

🔗 [Device Access certificates (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/oda-as-scep.htm)

🔗 [Use Okta as a CA for Device Access (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/oda-as-scep-okta-ca.htm)

🔗 [Just-In-Time Local Account Creation for macOS (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/macos-pw-sync/jit-provisioning-oda.htm)

🔗 [Add custom attributes to apps, directories, and identity providers (Okta)](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-add-custom-attribute.htm)

🔗 [Map Okta attributes to app attributes in the Profile Editor (Okta)](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-map-attributes.htm)