管理対象デバイス向けに独自の認証局を使用する
アプリサインインポリシーでデスクトップデバイスを管理対象とすることが求められている場合、Oktaはクライアント証明書が対象のデバイスにインストールされているかどうかを確認します。Oktaは、証明書が正しいことを証明するため、証明書を使用してデジタル署名を作成し、サーバー上で検証します。Oktaによって保護されているデバイスにクライアント証明書を発行する独自の認証局(CA)を構成できます。
独自のCAを提供するには、モバイルデバイス管理(MDM)ソフトウェアと統合された公開鍵インフラストラクチャ(PKI)がお使いの環境に必要です。MDMソフトウェアは以下のタスクを実行します。
-
クライアント証明書を対象のデバイスに配信する。
-
証明書の有効期限が切れる前に証明書を更新する。
-
デバイスが管理対象でなくなったときにMDMサーバーと管理対象デバイスから証明書を取り消す。
開始する前に
- デバイスを管理するには、既存のMDMソフトウェア(Windowsの場合はMicrosoft Intune、macOSの場合はJamf Pro)、またはActive Directory証明書サービス(ADCS)インフラストラクチャを使用できます。ADCSインフラストラクチャとOkta Verifyを併用して管理対象デバイスをOktaに登録できます。デバイスのユーザーは、Oktaで設定されている認証局によって発行された証明書を所有している必要があります。たとえば、Microsoft Intuneと統合したMicrosoft Active Directory証明書サービスおよびネットワークデバイス登録サービスを使用できます。
- デバイスが組織の管理対象になっていることを証明するには、登録済みのmacOSおよびWindowsデバイスに証明書をデプロイできるようにMDMソフトウェアを構成します。証明書は組織のCAによって署名される必要があります。デバイス登録を参照してください。
- Okta Admin Consoleを使用して、ご使用のMDMソフトウェアでクライアント証明書の発行に使用する中間認証局をアップロードします。シングルサインオン(SSO)中に、Okta Verifyが署名済みトークンをサーバーに提示し、クライアント証明書を所有していることを証明します。Oktaは信頼できるCA証明書を使用して、デバイスが組織に属していることを検証します。
この手順を開始する
クライアント証明書がデプロイされていることを確認する
CAによって発行されたクライアント証明書がOrganizationのmacOSやWindowsデバイスにデプロイされていることを確認します。
OktaでCAをアップロードし、管理証明書を構成する
- Okta Admin Consoleでに移動します。
- 認証局(Certificate authority)タブに移動して認証局を追加(Add certificate authority)をクリックします。
- 認証局を追加(Add certificate authority)ダイアログボックスで、クライアント証明書の発行に使用する中間CAを参照します。発行者が複数の場合は、すべてを一度にアップロードしてください。 注:
Oktaでは、PKCS#7、PKCS#12、PFX証明書の形式がサポートされていません。
証明書は自動的にアップロードされます。正常にアップロードされるとメッセージが表示されます。詳細を表示するには、ルート証明書チェーンの詳細を表示(View root certificate chain details)をクリックします。
- 閉じる(Close)をクリックします。
- エンドポイント管理(Endpoint Management)(Endpoint management)タブに移動します。
- プラットフォームを追加(Add Platform)(Add platform)をクリックします。
- Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))を選択して、次へ(Next)をクリックします。
- 管理証明を構成します。認証局([Certificate authority)]で、独自の認証局を使用する(Use my own certificate authority)を選択します。
- 保存(Save)をクリックします。
次の手順