Okta macOS용 Platform Single Sign-On 소개
macOS 26에 도입된 Simplified Setup은 자동 장치 등록 중에 Setup Assistant에서 Platform SSO (PSSO) 등록을 요구하는 새로운 방법이며, just-in-time 계정 생성을 사용하여 첫 번째 로컬 사용자 계정을 만들 수도 있습니다.
이 기능을 사용하면 사용자는 장치 설정을 진행하기 전에 ID 제공자로 등록해야 합니다. 그러면 첫 번째 사용자 계정이 만들어지고 사용자의 조직 ID 제공자(IdP)에 의해 관리됩니다.
유용한 용도:
1:1 컴퓨터 배포
Setup Assistant에서 ID 기반 사용자의 사용자 수준 MDM 관리 활성화
제로터치 프로비저닝 및 준수 적용
지침
Okta에서 Platform Single Sign-On 앱 생성 및 구성
Okta 조직에 수퍼 관리자로 로그인합니다.
Applications > Applications > Catalog로 이동하고 Browse App Catalog를 선택합니다.
macOS용 Platform Single Sign-On을 검색합니다.Add Integration을 클릭합니다.
참고: 이 애플리케이션은 Okta Device Access (ODA) 라이선스를 가진 고객에게만 사용 가능합니다.
- 애플리케이션 목록에서 Platform Single Sign-On을 엽니다.
General 탭에서 앱 레이블을 편집하거나 기본 레이블을 사용할 수 있습니다.
Sign on 탭에서 Client ID를 기록해둡니다. 이것은 MDM 배포에서 Okta Verify에 대한 관리되는 앱 구성에 필요합니다.
Desktop Password Sync를 사용하려면 사용자에게 Platform Single Sign-On 앱이 할당되어야 합니다. 앱을 Assignments 탭의 개별 사용자 또는 그룹에 할당합니다.
Okta 테넌트의 Directory > Profile Editor에서 Platform Single Sign-On for macOS User를 찾습니다.
두 개의 새로운 속성을 추가합니다:
macOSAccountFullName
macOSAccountUsername
이제 PSSO 앱이 사용할 두 개의 사용자 정의 속성이 있어야 합니다.
Okta의 Platform Single Sign-On for macOS 애플리케이션으로 돌아가서 Authentication 탭으로 이동하고 Configure profile mapping 링크를 클릭합니다.
Okta User to Platform Single Sign-On for macOS 탭을 선택합니다. 새로운 사용자 정의 속성이 거기에 표시되어야 합니다.
조직에 가장 적합한 설정을 구성합니다.
Preview 버튼을 사용하여 속성이 예상대로 가져오는지 확인합니다.
Save Mappings를 클릭합니다.
macOS의 동적 SCEP 도전과 함께 Okta를 CA로 추가
Okta 관리 포털에서 Security > Device Integrations로 이동합니다. Device Access를 선택한 다음 Add SCEP Configuration을 선택합니다.
Dynamic SCEP URL을 선택한 다음 Generate를 선택합니다.
SCEP URL, Challenge URL, Username 및 Password를 기록해둡니다. Jamf Pro에서 배포할 수 있는 구성을 만드는 데 필요합니다.
Save를 클릭합니다.
Jamf Pro에서 배포를 위해 Platform SSO 프로필 생성
Computers > Configuration Profiles로 이동하고 배포를 위해 새 프로필을 만듭니다.
Name, Description 및 Category를 설정합니다. Computer Level에서 배포하고 분배를 Install automatically로 설정합니다.
Associated Domains 페이로드를 찾고 Add를 선택합니다. 두 개의 App Identifiers를 추가합니다:
App Identifier: B7F62B65BN.com.okta.mobile.auth-service-extension Associated Domain: authsrv:<org-tenant>.okta.com
App Identifier:
B7F62B65BN.com.okta.mobileAssociated Domain:authsrv:<org-tenant>.okta.com다음으로 Single Sign-On Extensions 페이로드를 찾고 Add를 클릭합니다.
Payload type: SSO
Extension Identifier:
com.okta.mobile.auth-service-extensionTeam Identifier:
B7F62B65BNSign-on Type:
RedirectURLs (두 번째 항목 입력을 위해 Add 버튼 사용)
https://<org-tenant>.okta.com/device-access/api/v1/nonce
https://<org-tenant>.okta.com/oauth2/v1/tokenSingle Sign-On Extension 페이로드의 Setting 영역에서 구성을 계속합니다:
Use Platform SSO: Include
인증 방법: Password
FileVault Policy (Apple silicon):
Attempt&IncludeUser login policy:
Attempt&IncludeScreensaver unlock policy:
Attempt&IncludeEnable registration during setup:
Enable&IncludeCreate first user during Setup:
Enable&Include
새 사용자 생성 인증 방법: Password & Include
Use Shared Device Keys:
Enable&IncludeAccount Display Name: Include (예:
Company IT)Application & Custom Settings > Upload 아래에 세 가지 페이로드를 추가합니다.
com.okta.mobile.auth-service-extension
Property list 예제:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-PSSO-app-client-id</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>
com.okta.mobile
Property list 예제:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
</dict>
</plist>
com.apple.preference.security
Property list 예제:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>
배포를 위해 원하는 Scope를 추가합니다.
Save를 클릭합니다.
Jamf Pro에서 SCEP 구성 생성
Computers > Configuration Profiles로 이동하고 배포를 위해 새 프로필을 만듭니다.
Name, Description 및 Category를 설정합니다. Computer Level에서 배포하고 분배를 Install automatically로 설정합니다.
SCEP 페이로드로 이동하고 Configure를 선택합니다.
다음과 같이 구성합니다:
URL: Okta 테넌트에서 동적 SCEP 도전을 구성할 때 제공된 SCEP URL
Name: 이름을 입력합니다 (예:
CA-OKTA)Redistribute Profile: 조직의 선호도에 따라 값을 설정합니다 (예:
14일)Subject: 주체 이름 템플릿 추가
예제 주체 이름:
CN=$SERIALNUMBER ODA $PROFILE_IDENTIFIERChallenge Type:
Dynamic-Microsoft CAKey size:
2048Check
Use as digital signature.Uncheck
Allow export from keychain.Check
Allow all apps access.Save를 클릭합니다.
Jamf Pro에서 Platform SSO를 위한 PreStage 등록 생성
Jamf Pro에서 Computers > PreStage Enrollments로 이동합니다.
새 PreStage Enrollment를 생성합니다. General 섹션에서 조직 선호 옵션을 설정합니다.
Enrollment Requirements 아래에서 Enable Simplified Setup for Platform Single Sign-on (macOS 26 or later) 옵션을 확인합니다.
Minimum required macOS version을
26.0으로 변경합니다.Platform Single Sign-on App Bundle ID를
com.okta.mobile로 설정합니다.Configuration Profiles 아래에서 PSSO 프로필 및 SCEP 프로필이 포함되어 있는지 확인합니다.
Enrollment Packages에 Okta Verify 설치 프로그램(버전 9.52 이상)을 포함합니다.
Save를 클릭합니다.
문제 해결 + 팁
로그인한 사용자 계정의 PSSO 상태 확인
로그인한 사용자 계정의 PSSO 상태를 검토하려면 Terminal.app에서 app-sso platform -s를 실행합니다.
자동 장치 등록 중에 로그인할 수 없음
등록 중에 다음 오류 메시지가 표시되면:
Single Sign-On 확장이 도메인의 유효성을 검사할 수 없습니다. 관리자에게 문의하여 Single Sign-On을 설정하십시오.
이 메시지는 종종 Okta와의 장치 액세스 등록 중에 Associated Domains 페이로드가 인식되지 않음을 나타냅니다.
리소스
🔗 macOS용 Platform Single Sign-On (Apple)
🔗 macOS 15의 Desktop Password Sync 구성 (Okta)
🔗 macOS용 Desktop Password Sync (Okta)
🔗 Device Access용 CA로 Okta 사용 (Okta)
🔗 macOS용 Just-In-Time 로컬 계정 생성 (Okta)