コンテンツまでスキップ

【Okta・Jamf】Jamf Connect収容後のパスワード変更手順【小ネタ】

Picture of hagi

はじめに

こんにちは、 ネクストモード株式会社 のSaaS事業部hagiです。

今回もあるあるネタを紹介していきます。

 

Jamf ConnectとOkta

ネクストモードでは、Jamf Connectを利用してmacOSのログイン認証にOktaのMFAを利用しています。

メンバーは普段から特に意識なくSaaSを活用しているが故に、ちょっとした引っ掛かりポイントがあったため、忘れる前にしたためておきたいと思います。

ちなみに(ちなまない)、Jamf ConnectとOkta Device Accessに見られるPlatform SSOの機能仕様は似ているようで少し違います。違いについてよく知っている方々についてはまた今度お話したいと思います。許可を得ていないからです。(いつもありがとうございます!)

Okta側の機能に興味がある方は、下記からステップ・バイ・ステップで手順をご確認いただけます。

Desktop MFA for macOSはまだ早期アクセスリリースになっていますので、GAを待ってから試したいよねとお察しの賢明なる情報システム担当におかれましては引き続きJamf ConnectによるOkta MFA連携、パスワード同期機能をご自愛ください。

 

前提条件:

  • Desktop MFA for macOSの前提要件(早期アクセスリリース)
    • Okta Identity Engineのテナント
    • macOS Monterey(12.0)以上
    • Okta Verify Authenticatorがセットアップされている & Okta Verify Push通知が有効である(要MFAライセンス)
    • ユーザーのモバイルデバイスにOkta Verifyがインストールされている
    • デバイスが、インストーラーパッケージと構成プロファイルのデプロイメントに対応したモバイルデバイス管理ソフトウェアに登録されている(要MDM)
  • macOS向けのデスクトップパスワード同期の前提要件
    • Okta Identity Engineのテナント
    • macOS Ventura(13.0)以上を実行している。最良のユーザーエクスペリエンスを得るにはバージョン13.5をお勧めします
      (Monterey以上とさっき書いてあった要件は罠です)
    • Okta Verify Authenticatorがセットアップされている(大事なことなので)
    • デバイスは、ペイロードのデプロイメントをサポートするモバイルデバイス管理(MDM)ソフトウェアに登録することが必要(大事なk…)
    • ユーザーはパスワードを構成している必要がある。これはパスワードなしのサインインとは異なります。パスワードなしのサインインでは、バックグラウンドにパスワードがありますが、そのパスワードは認証中に使用されないままになります。真のパスワードなしユーザーはパスワードを設定していません。
      (何を言っているのか分からないと思いますが、Okta初回ログイン時にパスワードを求められて、以後パスワードを聞かれない環境はセーフということです)
    • デスクトップパスワード同期アプリケーションを組織で使用できるようにする(手順の通り)

 


OSログイン制御の闇

いきなりこんなことを言ってしまって気を悪くする方がいらっしゃったら申し訳ございません。

macOSのログインパスワードは、現代においても重要なセキュリティ対策の一つであると考えます。

大事なので2回入れます。

 

いいですか、ログインパスワードは、2回入れます。

今回のきっかけです。

 

春だし、OSのパスワードをちょっと変えよ

メンバーが上記を思い立ってパスワード変更操作をしたとして。

「どうぞどうぞ。別に。Okta自体はパスワードレス運用だし。関係ないね。」

 

関係あることを忘れてしまうくらいシームレスに運用しすぎてパスワード同期していることを失念してしまう私です。

「HELP! 再起動したらOSに入れなくなりました。」

どうしてこうなった

 

Jamf Connectのパスワード同期

Jamf Connectは、Oktaとのパスワード同期を60 分間隔で行います。

Oktaに追従してローカル側を変更しにいきます。

つまり、ほら、ローカル側を変更しても元に戻されるよね!だめじゃん!

 

また、「ログインは2回」の件もあります。

なぜ2回なのか。

それは、Apple社が大事なことなのでのミームをジョークで汲み取ってくれたのと合わせてFileVault(暗号化)の安全性が担保されているからに他なりません。

 

FileVault が有効になっている場合、Jamf Connect ログインウインドウが表示される前に、ユーザは追加の認証手順を完了してコンピュータディスクのロックを解除する必要があります。

 

同期の前提知識と、FileVaultの2段階(?)認証について完全に理解した。

 

パスワード変更手順

お待たせいたしました。本編です。

 

パスワード変更手順:

①Oktaダッシュボードにログイン

②設定からパスワードのリセットを実施→新パスワードを設定

③(OS再起動した後)FileVault画面で旧パスワードを入力

④Okta認証画面で新パスワードを入力→Okta MFA認証

⑤最後にFileVaultの同期のため、ログイン直前で旧パスワードを再度求められる

→完了

 

 

 

いや、なんかもっと良いヒントが冒頭にありましたね。

コレ↓

 

Jamf Connectを使えばOSの再起動なしにSyncできます。

①Oktaダッシュボードにログイン

②設定からパスワードのリセットを実施→新パスワードを設定

③Jamf Connectのログイン(新パスワード)→Okta MFA認証

④パスワードを同期(旧パスワード)

 

最後に

OSのログインもパスワードレスにしたいけどmacOSとFileVaultを司るApple社を政治的に誘導するお金は持っていないので、思い通りの機能改善が今後進むようお祈りを毎日欠かさないようにしたいと思います。(Apple信者爆誕)

 
, ,