O aplikacji Okta Platform Single Sign-on dla macOS
Wprowadzone w macOS 26, Simplified Setup to nowa metoda wymagająca rejestracji Platform SSO (PSSO) podczas Automated Device Enrollment w Setup Assistant, która może również utworzyć pierwsze lokalne konto użytkownika na macOS z tworzeniem konta just-in-time.
Dzięki tej funkcji użytkownicy muszą zarejestrować się u swojego dostawcy tożsamości przed kontynuowaniem konfiguracji urządzenia. Pierwsze konto użytkownika jest następnie tworzone i zarządzane przez dostawcę tożsamości (IdP) organizacji użytkownika.
Przydatne dla:
Wdrażania komputerów 1:1
Włączenia zarządzania MDM na poziomie użytkownika dla użytkownika opartego na tożsamości z Setup Assistant
Provisioning bez dotykania i egzekwowania zgodności
Instrukcje
Utwórz i skonfiguruj aplikację platform single sign-on w aplikacji Okta
Zaloguj się do swojej organizacji Okta jako administrator.
Przejdź do Applications > Applications > Catalog i Browse App Catalog. Wyszukaj
Platform Single Sign-on for macOS.Kliknij Add Integration.
Uwaga: ta aplikacja będzie dostępna tylko dla klientów mających licencję Okta Device Access (ODA).
- Otwórz Platform Single Sign-on z listy aplikacji.
Na karcie General możesz edytować etykietę aplikacji lub użyć etykiety domyślnej.
Na karcie Sign on zanotuj Client ID. Jest to potrzebne do konfiguracji zarządzanej aplikacji dla Okta Verify we wdrażaniu MDM.
Aby korzystać z Desktop Password Sync, użytkownicy muszą mieć przypisaną aplikację Platform Single Sign-on. Przypisz aplikację poszczególnym użytkownikom lub grupom na karcie Assignments.
W Directory > Profile Editor w dzierżawie Okta znajdź Platform Single Sign-On for macOS User.
Dodaj dwa nowe atrybuty:
macOSAccountFullName
macOSAccountUsername
Powinny teraz być dwa atrybuty niestandardowe, których będzie używać aplikacja PSSO.
Wróć do aplikacji Platform Single Sign-On for macOS w aplikacji Okta, przejdź na kartę Authentication i kliknij łącze Configure profile mapping.
Wybierz kartę Okta User to Platform Single Sign-On for macOS. Nowe atrybuty niestandardowe powinny być tam widoczne.
Skonfiguruj ustawienia dla tego, co najlepiej sprawdzi się w twojej organizacji.
Użyj przycisku Preview na dole, aby potwierdzić, że atrybuty zostały pobrane zgodnie z oczekiwaniami.
Kliknij Save Mappings.
Dodaj aplikację Okta jako urząd certyfikacji z dynamicznym wyzwaniem SCEP dla macOS
W portalu administratora Okta przejdź do Security > Device Integrations. Wybierz Device Access, a następnie Add SCEP Configuration.
Wybierz Dynamic SCEP URL, a następnie Generate.
Zanotuj SCEP URL, Challenge URL, Username i Password. Będą one potrzebne do wykonania konfiguracji możliwej do wdrażania w Jamf Pro.
Kliknij Save.
Tworzenie profilu Platform SSO do wdrażania w Jamf Pro
Przejdź do Computers > Configuration Profiles i utwórz nowy profil do wdrażania.
Ustaw Name, Description i Category. Wdróż na Computer Level i ustaw dystrybucję na Install automatically.
Znajdź ładunek Associated Domains i wybierz Add. Dodaj dwa App Identifiers:
App Identifier: B7F62B65BN.com.okta.mobile.auth-service-extension Associated Domain: authsrv:<org-tenant>.okta.com
App Identifier:
B7F62B65BN.com.okta.mobileAssociated Domain:authsrv:<org-tenant>.okta.comNastępnie znajdź ładunek Single Sign-On Extensions i kliknij Add.
Payload type: SSO
Extension Identifier:
com.okta.mobile.auth-service-extensionTeam Identifier:
B7F62B65BNSign-on Type:
RedirectURLs (użyj przycisku Add, aby wygenerować drugie pole do wprowadzenia)
https://<org-tenant>.okta.com/device-access/api/v1/nonce
https://<org-tenant>.okta.com/oauth2/v1/tokenKontynuuj konfigurację w obszarze Setting ładunku Single Sign-On Extension:
Use Platform SSO: Include
Authentication method: Password
FileVault Policy (Apple silicon):
Attempt&IncludeUser login policy:
Attempt&IncludeScreensaver unlock policy:
Attempt&IncludeEnable registration during setup:
Enable&IncludeCreate first user during Setup:
Enable&Include
New user creation authentication method: Password & Include
Use Shared Device Keys:
Enable&IncludeAccount Display Name: Include (np.
Company IT)Dodaj trzy ładunki w sekcji Application & Custom Settings > Upload.
com.okta.mobile.auth-service-extension
Przykład listy właściwości:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-PSSO-app-client-id</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>
com.okta.mobile
Przykład listy właściwości:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
</dict>
</plist>
com.apple.preference.security
Przykład listy właściwości:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>
Dodaj żądany Scope do wdrażania.
Kliknij Save.
Utwórz konfigurację SCEP w Jamf Pro
Przejdź do Computers > Configuration Profiles i utwórz nowy profil do wdrażania.
Ustaw Name, Description i Category. Wdróż na Computer Level i ustaw dystrybucję na Install automatically.
Przejdź do ładunku SCEP i Configure.
Skonfiguruj w następujący sposób:
URL: SCEP URL podany podczas konfigurowania dynamicznego wyzwania SCEP w dzierżawie Okta
Name: wprowadź nazwę (np.
CA-OKTA)Redistribute Profile: ustaw wartość na podstawie preferencji organizacji (np.
14dni)Subject: dodaj szablon nazwy tematu
Przykładowa nazwa tematu:
CN=$SERIALNUMBER ODA $PROFILE_IDENTIFIERChallenge Type:
Dynamic-Microsoft CAKey size:
2048Check
Use as digital signature.Uncheck
Allow export from keychain.Check
Allow all apps access.Kliknij Save.
Utwórz PreStage Enrollment dla Platform SSO w Jamf Pro
W Jamf Pro przejdź do Computers > PreStage Enrollments.
Utwórz nowy PreStage Enrollment. Ustaw opcje preferowane organizacyjnie w sekcji General.
W sekcji Enrollment Requirements zaznacz opcję Enable Simplified Setup for Platform Single Sign-on (macOS 26 or later).
Zmień Minimum required macOS version na
26.0.Ustaw Platform Single Sign-on App Bundle ID na
com.okta.mobile.W sekcji Configuration Profiles upewnij się, że profil PSSO i profil SCEP są uwzględnione.
W Enrollment Packages uwzględnij instalatora Okta Verify (wersja 9.52 lub nowsza).
Kliknij Save.
Rozwiązywanie problemów i porady
Sprawdź status PSSO zalogowanego konta użytkownika
Aby przejrzeć status PSSO zalogowanego konta użytkownika, uruchom app-sso platform -s w Terminal.app.
Nie można zalogować się podczas Automated Device Enrollment
Jeśli napotkasz następujący komunikat o błędzie podczas rejestracji:
The single sign-on extension could not validate the domain. Contact your administrator to help get single sign-on set up.
Ten komunikat często wskazuje, że ładunek Associated Domains nie jest rozpoznawany podczas rejestracji dostępu do urządzenia w aplikacji Okta.
Zasoby
🔗 Platform Single Sign-on for macOS (Apple)
🔗 Configure Desktop Password Sync for macOS 15 (Okta)
🔗 Desktop Password Sync for macOS (Okta)
🔗 Device Access certificates (Okta)
🔗 Use Okta as a CA for Device Access (Okta)
🔗 Just-In-Time Local Account Creation for macOS (Okta)
🔗 Add custom attributes to apps, directories, and identity providers (Okta)
🔗 Map Okta attributes to app attributes in the Profile Editor (Okta)