Jamf Concepts
Guides

Guides

Configuration de la Simplified Setup pour Platform SSO à l'aide de Jamf Pro et Okta

~6 min read

À propos de Okta Platform Single Sign-on pour macOS

Introduite dans macOS 26, la Simplified Setup est une nouvelle méthode pour exiger l'enregistrement de Platform SSO (PSSO) lors de l'inscription aux appareils automatisés à l'Assistant de configuration, ce qui peut également créer le premier compte utilisateur local sur macOS avec la création de compte juste-à-temps.

Avec cette fonctionnalité, les utilisateurs doivent s'enregistrer auprès de leur fournisseur d'identité avant de pouvoir poursuivre la configuration de l'appareil. Le premier compte utilisateur est ensuite créé et géré par le fournisseur d'identité (IdP) organisationnel de l'utilisateur.

Utile pour :

  • Déploiements d'ordinateurs 1:1

  • Activation de la gestion MDM au niveau utilisateur pour l'utilisateur basé sur l'identité à partir de l'Assistant de configuration

  • Provisionnement sans intervention et application de la conformité

Instructions

Créer et configurer l'application d'authentification unique de plateforme dans Okta

  • Connectez-vous à votre organisation Okta en tant qu'administrateur super.

  • Accédez à Applications > Applications > Catalogue et Parcourir le catalogue d'applications. Recherchez Platform Single Sign-on for macOS.

  • Cliquez sur Add Integration.

Remarque : cette application ne sera disponible que pour les clients disposant de la licence Okta Device Access (ODA).

  • Ouvrez Platform Single Sign-on à partir de votre liste d'applications.

Sous l'onglet General, vous pouvez modifier l'étiquette de l'application ou utiliser l'étiquette par défaut.

  • Sous l'onglet Sign on, notez le Client ID. Ceci est nécessaire pour la configuration d'application gérée d'Okta Verify dans votre déploiement MDM.

  • Pour utiliser Desktop Password Sync, les utilisateurs doivent avoir l'application Platform Single Sign-on assignée. Assignez l'application à des utilisateurs ou des groupes individuels sous l'onglet Assignments.

  • Dans Directory > Profile Editor dans le locataire Okta, trouvez Platform Single Sign-On for macOS User.

  • Ajoutez deux nouveaux attributs :

macOSAccountFullName

  • macOSAccountUsername

Il devrait maintenant y avoir deux attributs personnalisés que l'application PSSO peut utiliser.

  • De retour dans l'application Platform Single Sign-On for macOS dans Okta, allez à l'onglet Authentication et cliquez sur le lien Configure profile mapping.

  • Sélectionnez l'onglet Okta User to Platform Single Sign-On for macOS. Les nouveaux attributs personnalisés doivent être visibles ici.

  • Configurez les paramètres en fonction de ce qui convient le mieux à votre organisation.

  • Utilisez le bouton Preview en bas pour confirmer que les attributs s'affichent comme prévu.

  • Cliquez sur Save Mappings.

Ajouter Okta comme autorité de certification avec défi SCEP dynamique pour macOS

  • Dans le portail d'administration Okta, accédez à Security > Device Integrations. Sélectionnez Device Access, puis Add SCEP Configuration.

  • Sélectionnez Dynamic SCEP URL, puis Generate.

  • Notez l'URL SCEP, l'URL de défi, le Nom d'utilisateur et le Mot de passe. Ceux-ci seront nécessaires pour créer la configuration déployable dans Jamf Pro.

  • Cliquez sur Save.

Créer le profil Platform SSO pour le déploiement dans Jamf Pro

  • Accédez à Computers > Configuration Profiles et créez un nouveau profil pour le déploiement.

  • Définissez un Name, une Description et une Category. Déployez au Computer Level et définissez la distribution sur Install automatically.

  • Trouvez la charge utile Associated Domains et sélectionnez Add. Ajoutez deux App Identifiers :

App Identifier : B7F62B65BN.com.okta.mobile.auth-service-extension Associated Domain : authsrv:<org-tenant>.okta.com

  • App Identifier : B7F62B65BN.com.okta.mobile Associated Domain : authsrv:<org-tenant>.okta.com

  • Ensuite, trouvez la charge utile Single Sign-On Extensions et cliquez sur Add.

Payload type : SSO

  • Extension Identifier : com.okta.mobile.auth-service-extension

  • Team Identifier : B7F62B65BN

  • Sign-on Type : Redirect

  • URLs (utilisez le bouton Add pour générer un deuxième champ d'entrée)

https://<org-tenant>.okta.com/device-access/api/v1/nonce

  • https://<org-tenant>.okta.com/oauth2/v1/token

  • Continuez la configuration dans la zone Setting de la charge utile Single Sign-On Extension :

Use Platform SSO : Include

Authentication method : Password

  • FileVault Policy (Apple silicon) : Attempt & Include

  • User login policy : Attempt & Include

  • Screensaver unlock policy : Attempt & Include

  • Enable registration during setup : Enable & Include

  • Create first user during Setup : Enable & Include

New user creation authentication method : Password & Include

  • Use Shared Device Keys : Enable & Include

  • Account Display Name : Include (p. ex., Company IT)

  • Ajoutez trois charges utiles sous Application & Custom Settings > Upload.

com.okta.mobile.auth-service-extension

Exemple de liste de propriétés :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-PSSO-app-client-id</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>

- `com.okta.mobile`

Exemple de liste de propriétés :

```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
</dict>
</plist>

- `com.apple.preference.security`

Exemple de liste de propriétés :

```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>

- Ajoutez votre **Scope** souhaité pour le déploiement.

- Cliquez sur **Save**.

### Créer la configuration SCEP dans Jamf Pro

- Accédez à **Computers > Configuration Profiles** et créez un nouveau profil pour le déploiement.

- Définissez un **Name**, une **Description** et une **Category**. Déployez au **Computer Level** et définissez la distribution sur **Install automatically**.

- Allez à la charge utile **SCEP** et cliquez sur **Configure**.

- Configurez comme suit :

**URL :** l'**URL SCEP** fournie lors de la configuration du défi SCEP dynamique dans le locataire Okta

- **Name :** entrez un nom (p. ex., `CA-OKTA`)

- **Redistribute Profile :** définissez une valeur en fonction de la préférence organisationnelle (p. ex., `14` jours)

- **Subject :** ajoutez un modèle de nom de sujet

- Exemple de nom de sujet : `CN=$SERIALNUMBER ODA $PROFILE_IDENTIFIER`

- **Challenge Type :** `Dynamic-Microsoft CA`

- **Key size :** `2048`

- **Cochez** `Use as digital signature`.

- **Décochez** `Allow export from keychain`.

- **Cochez** `Allow all apps access`.

- Cliquez sur **Save**.

### Créer une PreStage Enrollment pour Platform SSO dans Jamf Pro

- Dans Jamf Pro, accédez à **Computers > PreStage Enrollments**.

- Créez une nouvelle **PreStage Enrollment**. Définissez les options préférées organisationnelles dans la section **General**.

- Sous **Enrollment Requirements**, cochez l'option **Enable Simplified Setup for Platform Single Sign-on (macOS 26 or later)**.

- Modifiez la **Minimum required macOS version** à `26.0`.

- Définissez l'**ID du bundle de l'application Platform Single Sign-on** sur `com.okta.mobile`.

- Sous **Configuration Profiles**, assurez-vous que le profil PSSO et le profil SCEP sont inclus.

- Dans **Enrollment Packages**, incluez un installateur Okta Verify (version 9.52 ou ultérieure).

- Cliquez sur **Save**.

## Dépannage + Conseils

#### Vérifier l'état PSSO du compte utilisateur connecté

Pour vérifier l'état PSSO d'un compte utilisateur connecté, exécutez `app-sso platform -s` dans **Terminal.app**.

#### Impossible de se connecter lors de l'inscription aux appareils automatisés

Si vous rencontrez le message d'erreur suivant lors de l'inscription :

*L'extension d'authentification unique n'a pas pu valider le domaine. Contactez votre administrateur pour obtenir de l'aide sur la configuration de l'authentification unique.*

Ce message indique souvent que la charge utile Associated Domains n'est pas reconnue lors de l'enregistrement d'accès aux appareils avec Okta.

## Ressources

🔗 [Platform Single Sign-on for macOS (Apple)](https://support.apple.com/guide/deployment/platform-sso-for-macos-dep7bbb05313/web)

🔗 [Configure Desktop Password Sync for macOS 15 (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/macos-pw-sync/configure-password-sync-for-mac-15.htm)

🔗 [Desktop Password Sync for macOS (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/macos-pw-sync/configure-macos-password-sync.htm)

🔗 [Device Access certificates (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/oda-as-scep.htm)

🔗 [Use Okta as a CA for Device Access (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/oda-as-scep-okta-ca.htm)

🔗 [Just-In-Time Local Account Creation for macOS (Okta)](https://help.okta.com/oie/en-us/content/topics/oda/macos-pw-sync/jit-provisioning-oda.htm)

🔗 [Add custom attributes to apps, directories, and identity providers (Okta)](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-add-custom-attribute.htm)

🔗 [Map Okta attributes to app attributes in the Profile Editor (Okta)](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-map-attributes.htm)