關於 Okta Platform Single Sign-on for macOS
macOS 26 中推出的簡化設定是一種新方法,可在自動裝置註冊期間透過設定助理要求 Platform SSO (PSSO) 註冊,也可以透過 Just-In-Time 帳戶建立在 macOS 上建立第一個本機使用者帳戶。
透過此功能,使用者必須在繼續進行裝置設定前向其身份提供者註冊。第一個使用者帳戶會由使用者的組織身份提供者 (IdP) 建立和管理。
適用於:
1:1 電腦部署
從設定助理啟用以身份為基礎的使用者的使用者層級 MDM 管理
零接觸佈建和相容性強制執行
說明
在 Okta 中建立並設定 Platform Single Sign-on 應用程式
以超級管理員身份登入您的 Okta 組織。
前往 Applications > Applications > Catalog 並 Browse App Catalog。搜尋
Platform Single Sign-on for macOS。按一下 Add Integration。
注意:此應用程式僅適用於具有 Okta Device Access (ODA) 授權的客戶。
- 從您的應用程式清單開啟 Platform Single Sign-on。
在 General 索引標籤上,您可以編輯應用程式標籤或使用預設標籤。
在 Sign on 索引標籤上,記下 Client ID。這是在您的 MDM 部署中設定 Okta Verify 受管應用程式設定所需的。
若要使用 Desktop Password Sync,使用者必須已指派 Platform Single Sign-on 應用程式。在 Assignments 索引標籤上為個別使用者或群組指派應用程式。
在 Okta 租戶的 Directory > Profile Editor 中,尋找 Platform Single Sign-On for macOS User。
新增兩個自訂屬性:
macOSAccountFullName
macOSAccountUsername
PSSO 應用程式現在應該有兩個自訂屬性可使用。
返回 Okta 中的 Platform Single Sign-On for macOS 應用程式,前往 Authentication 索引標籤並按一下 Configure profile mapping 連結。
選取 Okta User to Platform Single Sign-On for macOS 索引標籤。新的自訂屬性應該會顯示在那裡。
設定適合您組織的設定。
使用底部的 Preview 按鈕確認屬性如預期提取。
按一下 Save Mappings。
新增 Okta 作為具有動態 SCEP 挑戰的 CA for macOS
在 Okta 管理入口網站中導覽至 Security > Device Integrations。選取 Device Access,然後 Add SCEP Configuration。
選取 Dynamic SCEP URL,然後 Generate。
記下 SCEP URL、Challenge URL、Username 和 Password。這些將需要在 Jamf Pro 中建立可部署的設定。
按一下 Save。
在 Jamf Pro 中建立 Platform SSO 設定檔以供部署
導覽至 Computers > Configuration Profiles 並建立新設定檔以供部署。
設定 Name、Description 和 Category。在 Computer Level 部署,並將分發設定為 Install automatically。
找到 Associated Domains 承載並選取 Add。新增兩個 App Identifiers:
App Identifier:B7F62B65BN.com.okta.mobile.auth-service-extension Associated Domain:authsrv:<org-tenant>.okta.com
App Identifier:
B7F62B65BN.com.okta.mobileAssociated Domain:authsrv:<org-tenant>.okta.com接下來,找到 Single Sign-On Extensions 承載並按一下 Add。
Payload type:SSO
Extension Identifier:
com.okta.mobile.auth-service-extensionTeam Identifier:
B7F62B65BNSign-on Type:
RedirectURLs(使用 Add 按鈕產生第二個輸入欄位)
https://<org-tenant>.okta.com/device-access/api/v1/nonce
https://<org-tenant>.okta.com/oauth2/v1/token在 Single Sign-On Extension 承載的 Setting 區域中繼續設定:
Use Platform SSO:Include
Authentication method:Password
FileVault Policy (Apple silicon):
Attempt&IncludeUser login policy:
Attempt&IncludeScreensaver unlock policy:
Attempt&IncludeEnable registration during setup:
Enable&IncludeCreate first user during Setup:
Enable&Include
New user creation authentication method:Password & Include
Use Shared Device Keys:
Enable&IncludeAccount Display Name:Include(例如
Company IT)在 Application & Custom Settings > Upload 下新增三個承載。
com.okta.mobile.auth-service-extension
Property list 範例:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-PSSO-app-client-id</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>
com.okta.mobile
Property list 範例:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.OrgUrl</key>
<string>https://org-tenant-url.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
</dict>
</plist>
com.apple.preference.security
Property list 範例:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>
新增您所需的部署 Scope。
按一下 Save。
在 Jamf Pro 中建立 SCEP 設定
導覽至 Computers > Configuration Profiles 並建立新設定檔以供部署。
設定 Name、Description 和 Category。在 Computer Level 部署,並將分發設定為 Install automatically。
前往 SCEP 承載並 Configure。
設定如下:
URL:在 Okta 租戶中設定動態 SCEP 挑戰時提供的 SCEP URL
Name:輸入名稱(例如
CA-OKTA)Redistribute Profile:根據組織偏好設定值(例如
14天)Subject:新增主旨名稱範本
範例主旨名稱:
CN=$SERIALNUMBER ODA $PROFILE_IDENTIFIERChallenge Type:
Dynamic-Microsoft CAKey size:
2048Check
Use as digital signature。Uncheck
Allow export from keychain。Check
Allow all apps access。按一下 Save。
在 Jamf Pro 中為 Platform SSO 建立 PreStage 註冊
在 Jamf Pro 中導覽至 Computers > PreStage Enrollments。
建立新的 PreStage Enrollment。在 General 區段中設定組織偏好的選項。
在 Enrollment Requirements 下勾選 Enable Simplified Setup for Platform Single Sign-on (macOS 26 or later) 選項。
將 Minimum required macOS version 變更為
26.0。將 Platform Single Sign-on App Bundle ID 設定為
com.okta.mobile。在 Configuration Profiles 下確保包含 PSSO 設定檔和 SCEP 設定檔。
在 Enrollment Packages 中包含 Okta Verify 安裝程式(版本 9.52 或更新版本)。
按一下 Save。
疑難排解 + 提示
檢查已登入使用者帳戶的 PSSO 狀態
若要檢視已登入使用者帳戶的 PSSO 狀態,請在 Terminal.app 中執行 app-sso platform -s。
無法在自動裝置註冊期間登入
如果您在註冊期間遇到以下錯誤訊息:
The single sign-on extension could not validate the domain. Contact your administrator to help get single sign-on set up.
此訊息通常表示 Associated Domains 承載在與 Okta 進行裝置存取註冊期間未被識別。
資源
🔗 Platform Single Sign-on for macOS (Apple)
🔗 Configure Desktop Password Sync for macOS 15 (Okta)
🔗 Desktop Password Sync for macOS (Okta)
🔗 Device Access certificates (Okta)
🔗 Use Okta as a CA for Device Access (Okta)
🔗 Just-In-Time Local Account Creation for macOS (Okta)
🔗 Add custom attributes to apps, directories, and identity providers (Okta)
🔗 Map Okta attributes to app attributes in the Profile Editor (Okta)