Over Okta Platform Single Sign-on voor macOS
Geïntroduceerd in macOS 26, Simplified Setup is een nieuwe methode om Platform SSO (PSSO) registratie te vereisen tijdens Automated Device Enrollment bij Setup Assistant, die ook het eerste lokale gebruikersaccount op macOS kan aanmaken met just-in-time accountcreatie.
Met deze functie moeten gebruikers zich registreren bij hun identiteitsprovider voordat ze doorgaan met de apparaatconfiguratie. Het eerste gebruikersaccount wordt dan aangemaakt en beheerd door de identiteitsprovider (IdP) van de gebruiker.
Nuttig voor:
1:1 computerimplementaties
Het inschakelen van MDM-beheer op gebruikersniveau voor de identiteitsgebaseerde gebruiker vanaf Setup Assistant
Zero-touch provisioning en compliance-handhaving
Instructies
Maak en configureer de platform single sign-on app in Okta
Meld u aan bij uw Okta-organisatie als super admin.
Ga naar Applications > Applications > Catalog en Browse App Catalog. Zoek naar
Platform Single Sign-on for macOS.Klik op Add Integration.
Opmerking: deze applicatie is alleen beschikbaar voor klanten met Okta Device Access (ODA) licentie.
- Open Platform Single Sign-on vanuit uw Applications-lijst.
Op het tabblad General kunt u het applabel bewerken of het standaardlabel gebruiken.
Op het tabblad Sign on, noteer de Client ID. Deze is nodig voor de managed app-configuratie voor Okta Verify in uw MDM-implementatie.
Om Desktop Password Sync te gebruiken, moeten gebruikers de Platform Single Sign-on app toegewezen krijgen. Wijs de app toe aan individuele gebruikers of groepen op het tabblad Assignments.
In Directory > Profile Editor in de Okta-tenant, zoek de Platform Single Sign-On for macOS User.
Voeg twee nieuwe attributen toe:
macOSAccountFullName
macOSAccountUsername
Er zouden nu twee aangepaste attributen moeten zijn voor de PSSO-app om te gebruiken.
Terug in de Platform Single Sign-On for macOS applicatie in Okta, ga naar het tabblad Authentication en klik op de link Configure profile mapping.
Selecteer het tabblad Okta User to Platform Single Sign-On for macOS. De nieuwe aangepaste attributen zouden daar zichtbaar moeten zijn.
Configureer de instellingen voor wat het beste werkt voor uw organisatie.
Gebruik de knop Preview onderaan om te bevestigen dat de attributen worden opgehaald zoals verwacht.
Klik op Save Mappings.
Voeg Okta toe als CA met dynamische SCEP-challenge voor macOS
Navigeer in het Okta-beheerdersportaal naar Security > Device Integrations. Selecteer Device Access en vervolgens Add SCEP Configuration.
Selecteer Dynamic SCEP URL en vervolgens Generate.
Noteer de SCEP URL, Challenge URL, Username en Password. Deze zijn nodig om de implementeerbare configuratie in Jamf Pro te maken.
Klik op Save.
Het Platform SSO-profiel aanmaken voor implementatie in Jamf Pro
Navigeer naar Computers > Configuration Profiles en maak een nieuw profiel voor implementatie.
Stel een Name, Description en Category in. Implementeer op Computer Level en stel distributie in op Install automatically.
Zoek de Associated Domains payload en selecteer Add. Voeg twee App Identifiers toe:
App Identifier: B7F62B65BN.com.okta.mobile.auth-service-extension Associated Domain: authsrv:<org-tenant>.okta.com
App Identifier:
B7F62B65BN.com.okta.mobileAssociated Domain:authsrv:<org-tenant>.okta.comZoek vervolgens de Single Sign-On Extensions payload en klik op Add.
Payload type: SSO
Extension Identifier:
com.okta.mobile.auth-service-extensionTeam Identifier:
B7F62B65BNSign-on Type:
RedirectURLs (gebruik de knop Add om een tweede veld voor invoer te genereren)
https://<org-tenant>.okta.com/device-access/api/v1/nonce
https://<org-tenant>.okta.com/oauth2/v1/tokenGa door met configuratie in het Setting gebied van de Single Sign-On Extension payload:
Use Platform SSO: Include
Authentication method: Password
FileVault Policy (Apple silicon):
Attempt&IncludeUser login policy:
Attempt&IncludeScreensaver unlock policy:
Attempt&IncludeEnable registration during setup:
Enable&IncludeCreate first user during Setup:
Enable&Include
New user creation authentication method: Password & Include
Use Shared Device Keys:
Enable&IncludeAccount Display Name: Include (bijv.
Bedrijfs-IT)Voeg drie payloads toe onder Application & Custom Settings > Upload.
com.okta.mobile.auth-service-extension
Property list voorbeeld:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-PSSO-app-client-id</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>
com.okta.mobile
Property list voorbeeld:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
</dict>
</plist>
com.apple.preference.security
Property list voorbeeld:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>
Voeg uw gewenste Scope voor implementatie toe.
Klik op Save.
Maak de SCEP-configuratie in Jamf Pro
Navigeer naar Computers > Configuration Profiles en maak een nieuw profiel voor implementatie.
Stel een Name, Description en Category in. Implementeer op Computer Level en stel distributie in op Install automatically.
Ga naar de SCEP payload en Configure.
Configureer als volgt:
URL: de SCEP URL die is verstrekt tijdens het configureren van de dynamische SCEP-challenge in de Okta-tenant
Name: voer een naam in (bijv.
CA-OKTA)Redistribute Profile: stel een waarde in op basis van organisatievoorkeur (bijv.
14dagen)Subject: voeg een subject name template toe
Voorbeeld subject name:
CN=$SERIALNUMBER ODA $PROFILE_IDENTIFIERChallenge Type:
Dynamic-Microsoft CAKey size:
2048Vink aan
Use as digital signature.Vink uit
Allow export from keychain.Vink aan
Allow all apps access.Klik op Save.
Maak een PreStage Enrollment voor Platform SSO in Jamf Pro
Navigeer in Jamf Pro naar Computers > PreStage Enrollments.
Maak een nieuwe PreStage Enrollment. Stel organisatie-voorkeursopties in de sectie General in.
Onder Enrollment Requirements vink de optie Enable Simplified Setup for Platform Single Sign-on (macOS 26 or later) aan.
Wijzig de Minimum required macOS version naar
26.0.Stel de Platform Single Sign-on App Bundle ID in op
com.okta.mobile.Onder Configuration Profiles zorg ervoor dat het PSSO-profiel en SCEP-profiel zijn opgenomen.
In Enrollment Packages voeg een Okta Verify-installatieprogramma toe (versie 9.52 of later).
Klik op Save.
Probleemoplossing + Tips
Controleer PSSO-status van ingelogd gebruikersaccount
Om de PSSO-status van een ingelogd gebruikersaccount te bekijken, voer app-sso platform -s uit in Terminal.app.
Kan niet inloggen tijdens Automated Device Enrollment
Als u de volgende foutmelding tegenkomt tijdens enrollment:
The single sign-on extension could not validate the domain. Contact your administrator to help get single sign-on set up.
Deze melding geeft vaak aan dat de Associated Domains payload niet wordt herkend tijdens apparaattoegangsregistratie met Okta.
Bronnen
Platform Single Sign-on for macOS (Apple)
Configure Desktop Password Sync for macOS 15 (Okta)
Desktop Password Sync for macOS (Okta)
Device Access certificates (Okta)
Use Okta as a CA for Device Access (Okta)
Just-In-Time Local Account Creation for macOS (Okta)
Add custom attributes to apps, directories, and identity providers (Okta)
Map Okta attributes to app attributes in the Profile Editor (Okta)