Oktaの「Platform Single Sign On for macOS」では、今何ができるのか？

Oktaの「プラットフォームシングルサインオン」への対応

今回はシングルサインオン機能拡張の追加機能にあたるプラットフォームシングルサインオン拡張機能（以下PSSOe）について紹介します。

2022年のWWDCにて発表されたPSSOeは、IdPに登録されている認証資格情報をmacOSで流用できるように拡張された機能ですが、発表当初はIdP側の対応ができておらず機能を利用することができませんでした。
2023年のWWDCでは機能強化が図られたPSSOeですが、Oktaはいち早くPSSOeの対応を表明し、2023年秋にはDesktop Password Sync for macOSとして提供を開始。2024年の9月にはPlatform Single Sign On for macOSに名称が変更となり、アカウント作成機能が追加されました。

Platform Single Sign On for macOSで今現在何が実現できるのか。またJamf Proの機能と組み合わせることで、どのようなことが出来るのかについてご紹介します。

2025.1追記：Platform Single Sign On for macOSへのアップデートに合わせて内容を更新しました。一部画像や手順が古い部分がありますが、順次更新していきます。

Platform Single Sign On for macOSで何ができるのか
- 提供される機能
- 利用可能になるまでの流れ
Platform Single Sign On for macOSの設定
動作を確認してみよう
- Oktaへの登録とパスワード同期
- PSSOeのステータスを確認してみる
まとめ

Entra IDを利用中の方はこちらの記事を参照ください。

Microsoftの「プラットフォームシングルサインオン」では、今何ができるのか？外部サイト

Platform Single Sign On for macOSで何ができるのか

提供される機能

macOSに対してPlatform Single Sign On for macOSを設定することで、以下の機能をユーザに提供することができるようになります。

IdPの認証資格情報を使用してローカルアカウントを作成(2024年追加)
既存のローカルアカウントのパスワードとOkta認証資格情報のパスワードの同期
同期したパスワードを使用してTouch IDやApple WatchでMacのロックを解除
システム設定からOktaとの接続情報を確認

参照：macOS向けのデスクトップパスワード同期を構成する

昨年の秋頃まではローカルアカウントとのパスワード同期までしか実装されていませんでしたが、新たにローカルアカウントの作成機能である「ジャストインタイムローカルアカウント作成」が実装されたことで、ローカルアカウントの作成にOktaの認証資格情報を使用することができるようになりました。
Oktaを使用されている環境では、さらに利用の幅が広がるのではないでしょうか。

Platform Single Sign On for macOSが利用可能になるまでの流れについてご紹介しつつ、設定方法についてご説明いたします。

利用可能になるまでの流れ

Platform Single Sign On for macOSは以下のプロセスを経て、初めてOktaの認証資格情報を利用することができるようになります。

1. 設定アシスタントにてローカル管理者アカウントを作成する
2. ローカルアカウントの権限にてPSSOeにて定義されているOktaへ接続
3. Oktaの認証資格情報を使用してデバイスをOktaに登録する
4. Oktaの認証資格情報を使用してSSO トークンを取得する

この作業後、ログインウインドウからOktaの認証資格情報を元に、ローカルアカウントの作成が可能となります。

設定済みのMacを確認すると、プラットフォームシングルサインの項目が追加され、Oktaの表示が確認できます

インフォメーションアイコンから、pSSOの項目であるログイン、方法、登録、トークンといったパラメータを確認できます。

この登録が実行されていればOktaの認証資格情報を利用する準備ができたことになります。更にSSOトークンを取得することでローカルアカウントとOktaのアカウントが同期され、パスワードの更新はOktaを通じて実行するように設定されるだけではなく、ローカルアカウントの新規作成も行えるようになります。

■登録までのフロー

前置きが長くなりましたが、Oktaのパスワード同期機能であるPlatform Single Sign On for macOSをもとに、実際に設定を作成して挙動を確認してみたいと思います。

登録されていないブロックです。

Platform Single Sign On for macOSの設定

OktaのPlatform Single Sign On for macOSを設定すると、既存のローカルアカウントのパスワードをOktaと同期させることができるようになります。また条件によってはアプリケーションサービスへのSSOも合わせて可能となります。

Platform Single Sign On for macOSを使用するための前提条件は以下です。

・Okta VerifyをmacOSデバイスにデプロイする
・macOS 14向けにPlatform Single Sign-onを構成する
・macOSのジャストインタイムローカルアカウント作成
・デバイスアクセスSCEP証明書をセットアップする

それでは実際にPlatform Single Sign On for macOSの設定を作成してみましょう。
今回もJamf Proを使用してご説明いたします。

※ 今回はOkta Verifyアプリの登録方法については割愛いたします。

Okta Platform Single Sign On for macOSアプリの構成

1. Oktaの「Admin Console」にログインし、アプリケーション > アプリ・カタログを参照の順にクリックします

2. 「検索」ウインドウに「Platform Single Sign On」と入力し、検索に候補に上がった「Platform Single Sign On for macOS」」アプリを選択します

3. 「統合を追加」をクリックします

4. 「完了」をクリックします

5. 「サインオン」タブをクリックして「クライアントID」をコピーしておきます

6. 「割り当て」タブをクリックしてアプリケーションを使用するユーザーもしくはグループを登録します

次にデバイスアクセスSCEP証明書の設定を行います。

SCEP証明書の準備

デバイス統合 > デバイスアクセス > SCEP構成を追加の順にクリックします

2.SCEP URLチャレンジタイプを選択します。今回は「静的SCEP URL」を選択し「生成」をクリックします

3.生成された「SCEP URL」と「秘密鍵」をそれぞれコピーして控えておきます

4.「保存」をクリックします

以上でOkta側の設定は完了です。続いて、Jamf Proにて構成プロファイルを作成しましょう。

構成プロファイルの作成

1. Jamf Pro にログインし、コンピュータ > 構成プロファイルにアクセスし、＋新規ボタンをクリックします

2. 一般ペイロードにてプロファイル名を入力します
　a. 名称：任意の名称を入力します。例では999.Okta_PlatformSSOとしています
　b. カテゴリ：必要に応じて予め作成しておいたカテゴリを選択します（オプション）

3. シングルサインオン機能拡張ペイロードを選択し、＋追加をクリックします

4. 下記の設定を行います
　c. ペイロードタイプ：今回は「SSO」を選択します
　d. 拡張識別子：「com.okta.mobile.auth-service-extension」を入力します
　e. チーム識別子：「B7F62B65BN」を入力します
　f. サインオンのタイプ：「リダイレクト」を選択します

　g. URL：Platform Single Sign On for macOSを使用するための必要なURLを入力します
　　・https://契約しているOktaのドメイン/device-access/api/v1/nonce
　　・https://契約しているOktaのドメイン/oauth2/v1/token
　h. プラットフォームSSOを使用する：トグルスイッチをクリックして「有効」にします
　i. 認証方式：「パスワード」を選択します
　j.登録トークン：任意の値を入力しますが、今回はMSの設定に合わせて{{DEVICEREGISTRATION}} を入力します

k. 共有デバイスキーを使用：「有効」にします
l. ログイン時に新しいユーザを作成：「有効」にします
m. アイデンティティプロパイダの認証：「有効」にします
n. ユーザマッピング１ / 氏名：「macOSAccountFullName」と入力します
o. ユーザマッピング２ / アカウント名：「macOSAccountUsername」と入力します

p. アカウント認証タイプ：「Admin」を選択します
q. 新しいユーザアカウントタイプ：今回は「Admin」を選択します

r.画面ロック時の認証：「処理しない」を選択します

5. 関連するドメインペイロードを選択し、＋追加をクリックします

6. 下記の設定を行います
　a. アプリ識別子：「B7F62B65BN.com.okta.mobile.auth-service-extension」を入力します
　b. 関連するドメイン：「authsrv:」に続けて契約しているOktaドメインを加えた値を入力します：例：「authsrv:契約しているOktaのドメイン」

7. 「アプリケーションとカスタム設定」ペイロードを選択し、「アップロード」を選択。＋追加をクリックします

8. 下記の設定を行います
　a. 環境設定ドメイン：「com.okta.mobile」を入力します
　b. プロパティリスト：以下の値を入力します

※ 「契約しているOktaのドメイン」は契約している自社のOktaドメインに置き換えてください
※ 「クライアントID」は「Platform Single Sign On for macOS」アプリ作成の手順５でコピーした値に置き換えてください

9. ＋追加をクリックします

10. 下記の設定を行います
　a. 環境設定ドメイン：「com.okta.mobile.auth-service-extension」を入力します
　b. プロパティリスト：以下の値を入力します

11. Scopeに配布対象のMac を追加し、画面右下の保存をクリックしてプロファイルを保存・配布します

設定は以上となります。
登録済みの「Okta Verify for macOS」も合わせて配布しておきます。

それでは、挙動を確認してみましょう。

動作を確認してみよう

Oktaへの登録とパスワード同期

Okta Verify for macOSがインストールされていることを確認後、パスワード同期のテストを開始します。

1. 通知センターに表示されている「登録が必要です」の通知から「登録」をクリックします

2. メッセージが表示されますので「設定」をクリックします

3. Macの管理者アカウントのパスワードを入力し「OK」をクリックします

4. Okta Verifyのメッセージが表示されるので「設定」をクリックします

5. Oktaの認証が要求されますのでOktaに登録されている認証資格情報（ユーザー名）を入力し「次へ」をクリックします

6. 任意のセキュリティ方式を選択して認証を続けます

7. 本人確認（Oktaへのデバイスの登録）が完了します。Safariを終了しておきます

8. Okta Verifyのメッセージが表示されるので「続行」をクリックします

9. Oktaアカウントのパスワードを入力し「サインイン」をクリックします

10. 通知センターに同期が完了した旨の通知が表示されれば、パスワードの同期は完了です

11. パスワードの同期が完了します。特にメッセージは表示されませんが、そのままご利用いただける状態になっております

続いて、作成されたアカウントのステータスを確認してみましょう。

PSSOeのステータスを確認してみる

Oktaへ登録されているのか、SSOトークンが取得できているのかを確認してみましょう。

1. システム設定を起動して、ユーザとグループをクリックします。続けてネットワークアカウントサーバの「編集」をクリックします

2. プラットフォームシングルサインオンに追加されているOkta Verifyが「登録済み」になっているかを確認します。問題がなければ「完了」をクリックします

3. 現在ログインしているローカルアカウント名の右側にある「インフォメーションアイコン（i）」をクリックします
　例ではアカウント「DEMO Too」にてログインしています

4. プラットフォームシングルサインオンの項目にある「登録」と「トークン」が、それぞれ「登録済み」「SSOトークンがあります」になっているかを確認します。問題がある場合は「修復」もしくは「認証」を実行して、再度登録作業を実施します。問題がなければ「OK」をクリックします

PSSOeを構成することで、システム設定のユーザとグループから登録のステータスを確認することができるようになります。
この設定を適用することでローカルアカウントの作成・パスワード同期だけではなく、環境によってはアプリケーションへのシングルサインオンが実行できるようになりますので、ユーザーの利便性が向上することは間違いないでしょう。