Okta Platform Single Sign-on for macOS について
macOS 26 で導入された簡易セットアップは、自動デバイス登録中に Setup Assistant で Platform SSO (PSSO) 登録を要求する新しい方法です。この方法は、ジャストインタイム アカウント作成を使用して macOS 上の最初のローカル ユーザー アカウントを作成することもできます。
この機能により、ユーザーはデバイス セットアップを続行する前に ID プロバイダーに登録する必要があります。その後、最初のユーザー アカウントが作成され、ユーザーの組織の ID プロバイダー (IdP) によって管理されます。
便利な用途:
1:1 コンピューター デプロイメント
Setup Assistant からの ID ベースのユーザーに対するユーザーレベルの MDM 管理の有効化
ゼロタッチ プロビジョニングとコンプライアンス適用
手順
Okta でプラットフォーム シングル サインオン アプリを作成して構成する
スーパー管理者として Okta org にサインインします。
Applications > Applications > Catalog に移動して Browse App Catalog をクリックします。
Platform Single Sign-on for macOSを検索します。Add Integration をクリックします。
注: このアプリケーションは、Okta Device Access (ODA) ライセンスを持つ顧客のみが利用できます。
- アプリケーション リストから Platform Single Sign-on を開きます。
General タブで、アプリ ラベルを編集するか、デフォルト ラベルを使用できます。
Sign on タブで、Client ID をメモしておきます。これは MDM デプロイメントで Okta Verify のマネージド アプリ構成に必要です。
Desktop Password Sync を使用するには、ユーザーに Platform Single Sign-on アプリが割り当てられている必要があります。Assignments タブで個別ユーザーまたはグループにアプリを割り当てます。
Okta テナントの Directory > Profile Editor で、Platform Single Sign-On for macOS User を見つけます。
2 つの新しい属性を追加します:
macOSAccountFullName
macOSAccountUsername
PSSO アプリが使用する 2 つのカスタム属性が作成されます。
Okta の Platform Single Sign-On for macOS アプリケーションに戻り、Authentication タブに移動して Configure profile mapping リンクをクリックします。
Okta User to Platform Single Sign-On for macOS タブを選択します。新しいカスタム属性がそこに表示されるはずです。
組織に最適な設定を構成します。
下部の Preview ボタンを使用して、属性が期待どおりにプルインされることを確認します。
Save Mappings をクリックします。
macOS の動的 SCEP チャレンジを使用して Okta を CA として追加する
Okta 管理ポータルで Security > Device Integrations に移動します。Device Access を選択して、Add SCEP Configuration をクリックします。
Dynamic SCEP URL を選択して、Generate をクリックします。
SCEP URL、Challenge URL、Username、Password をメモしておきます。これらは Jamf Pro でデプロイ可能な構成を作成するために必要です。
Save をクリックします。
Jamf Pro でのデプロイメント用 Platform SSO プロファイルの作成
Computers > Configuration Profiles に移動して、デプロイメント用の新しいプロファイルを作成します。
Name、Description、Category を設定します。Computer Level でデプロイして、配布を Install automatically に設定します。
Associated Domains ペイロードを見つけて Add を選択します。2 つの App Identifiers を追加します:
App Identifier: B7F62B65BN.com.okta.mobile.auth-service-extension Associated Domain: authsrv:<org-tenant>.okta.com
App Identifier:
B7F62B65BN.com.okta.mobileAssociated Domain:authsrv:<org-tenant>.okta.com次に、Single Sign-On Extensions ペイロードを見つけて Add をクリックします。
Payload type: SSO
Extension Identifier:
com.okta.mobile.auth-service-extensionTeam Identifier:
B7F62B65BNSign-on Type:
RedirectURLs (Add ボタンを使用して 2 番目のフィールドを生成)
https://<org-tenant>.okta.com/device-access/api/v1/nonce
https://<org-tenant>.okta.com/oauth2/v1/tokenSingle Sign-On Extension ペイロードの Setting エリアで構成を続行します:
Use Platform SSO: Include
Authentication method: Password
FileVault Policy (Apple silicon):
Attempt&IncludeUser login policy:
Attempt&IncludeScreensaver unlock policy:
Attempt&IncludeEnable registration during setup:
Enable&IncludeCreate first user during Setup:
Enable&Include
New user creation authentication method: Password & Include
Use Shared Device Keys:
Enable&IncludeAccount Display Name: Include (例:
Company IT)Application & Custom Settings > Upload の下に 3 つのペイロードを追加します。
com.okta.mobile.auth-service-extension
プロパティ リスト例:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-PSSO-app-client-id</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>
com.okta.mobile
プロパティ リスト例:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
</dict>
</plist>
com.apple.preference.security
プロパティ リスト例:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>
デプロイメントに必要な Scope を追加します。
Save をクリックします。
Jamf Pro で SCEP 構成を作成する
Computers > Configuration Profiles に移動して、デプロイメント用の新しいプロファイルを作成します。
Name、Description、Category を設定します。Computer Level でデプロイして、配布を Install automatically に設定します。
SCEP ペイロードに移動して Configure をクリックします。
次のように構成します:
URL: Okta テナントで動的 SCEP チャレンジを構成するときに提供された SCEP URL
Name: 名前を入力します (例:
CA-OKTA)Redistribute Profile: 組織の設定に基づいて値を設定します (例:
14日)Subject: サブジェクト名テンプレートを追加します
サブジェクト名の例:
CN=$SERIALNUMBER ODA $PROFILE_IDENTIFIERChallenge Type:
Dynamic-Microsoft CAKey size:
2048Check
Use as digital signature.Uncheck
Allow export from keychain.Check
Allow all apps access.Save をクリックします。
Jamf Pro で Platform SSO の PreStage Enrollment を作成する
Jamf Pro で Computers > PreStage Enrollments に移動します。
新しい PreStage Enrollment を作成します。General セクションで組織の優先設定を設定します。
Enrollment Requirements で Enable Simplified Setup for Platform Single Sign-on (macOS 26 or later) オプションをチェックします。
Minimum required macOS version を
26.0に変更します。Platform Single Sign-on App Bundle ID を
com.okta.mobileに設定します。Configuration Profiles で PSSO プロファイルと SCEP プロファイルが含まれていることを確認します。
Enrollment Packages に Okta Verify インストーラー (バージョン 9.52 以降) を含めます。
Save をクリックします。
トラブルシューティング + ヒント
ログイン済みユーザー アカウントの PSSO ステータスを確認する
ログイン済みユーザー アカウントの PSSO ステータスを確認するには、Terminal.app で app-sso platform -s を実行します。
自動デバイス登録中にサインインできない
登録中に次のエラー メッセージが表示された場合:
シングル サインオン拡張機能はドメインを検証できませんでした。管理者に連絡してシングル サインオンのセットアップを支援してもらってください。
このメッセージは、Associated Domains ペイロードが Okta でのデバイス アクセス登録中に認識されていないことを示すことが多いです。
リソース
🔗 Platform Single Sign-on for macOS (Apple)
🔗 Configure Desktop Password Sync for macOS 15 (Okta)
🔗 Desktop Password Sync for macOS (Okta)
🔗 Device Access certificates (Okta)
🔗 Use Okta as a CA for Device Access (Okta)
🔗 Just-In-Time Local Account Creation for macOS (Okta)
🔗 Add custom attributes to apps, directories, and identity providers (Okta)
🔗 Map Okta attributes to app attributes in the Profile Editor (Okta)