使用 Jamf Pro 和 Okta 配置 Platform SSO 简化设置

关于 macOS 的 Okta Platform 单点登录

macOS 26 中引入的简化设置是一种新方法，可在自动设备注册期间的设置助手中要求 Platform SSO (PSSO) 注册，还可以通过即时帐户创建在 macOS 上创建第一个本地用户帐户。

通过此功能，用户必须先向其身份提供商进行注册，然后才能继续设备设置。然后创建第一个用户帐户，并由用户的组织身份提供商 (IdP) 进行管理。

适用于：

一对一的计算机部署
从设置助手为基于身份的用户启用用户级 MDM 管理
零接触配置和合规性强制执行

说明

在 Okta 中创建和配置 Platform 单点登录应用

以超级管理员身份登录到 Okta 组织。
转到应用程序 > 应用程序 > 目录并浏览应用程序目录。搜索Platform Single Sign-on for macOS。
点击添加集成。

注意：此应用程序仅适用于拥有 Okta Device Access (ODA) 许可的客户。

从应用程序列表中打开 Platform Single Sign-on。

在常规选项卡上，您可以编辑应用标签或使用默认标签。

在登录选项卡上，记下客户端 ID。这是在 MDM 部署中为 Okta Verify 进行托管应用配置所需的。
要使用桌面密码同步，用户必须分配Platform Single Sign-on 应用。在分配选项卡上将应用分配给单个用户或组。
在 Okta 租户的目录 > 配置文件编辑器中，找到 Platform Single Sign-On for macOS User。
添加两个新属性：

macOSAccountFullName

macOSAccountUsername

现在应该有两个自定义属性供 PSSO 应用使用。

返回到 Okta 中的 Platform Single Sign-On for macOS 应用程序，转到身份验证选项卡，然后点击配置配置文件映射链接。
选择Okta User to Platform Single Sign-On for macOS 选项卡。新的自定义属性应该显示在那里。
配置最适合您的组织的设置。
使用底部的预览按钮确认属性按预期提取。
点击保存映射。

使用动态 SCEP 质询为 macOS 添加 Okta 作为 CA

在 Okta 管理门户中导航至安全 > 设备集成。选择设备访问，然后添加 SCEP 配置。
选择动态 SCEP URL，然后生成。
记下 SCEP URL、Challenge URL、Username 和 Password。这些将需要在 Jamf Pro 中创建可部署的配置。
点击保存。

在 Jamf Pro 中创建 Platform SSO 配置文件以供部署

导航至计算机 > 配置文件并创建新配置文件以供部署。
设置名称、描述和类别。在计算机级别部署，并将分发设置为自动安装。
找到关联域负载并选择添加。添加两个应用标识符：

应用标识符：B7F62B65BN.com.okta.mobile.auth-service-extension 关联域：authsrv:<org-tenant>.okta.com

应用标识符：B7F62B65BN.com.okta.mobile 关联域：authsrv:<org-tenant>.okta.com
接下来，找到单点登录扩展负载并点击添加。

负载类型：SSO

扩展标识符： com.okta.mobile.auth-service-extension
团队标识符： B7F62B65BN
登录类型： Redirect
URL（使用添加按钮生成第二个输入字段）

https://<org-tenant>.okta.com/device-access/api/v1/nonce

https://<org-tenant>.okta.com/oauth2/v1/token
在单点登录扩展负载的设置区域中继续配置：

使用 Platform SSO： Include

身份验证方法：Password

FileVault 政策（Apple silicon）： Attempt & Include
用户登录政策： Attempt & Include
屏幕保护程序解锁政策： Attempt & Include
启用设置期间注册： Enable & Include
在设置期间创建第一个用户： Enable & Include

新用户创建身份验证方法：Password & Include

使用共享设备密钥： Enable & Include
帐户显示名称： Include（例如：Company IT）
在应用程序和自定义设置 > 上传下添加三个负载。

com.okta.mobile.auth-service-extension

属性列表示例：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-PSSO-app-client-id</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>

com.okta.mobile

属性列表示例：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
</dict>
</plist>

com.apple.preference.security

属性列表示例：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>