こんにちは、 ネクストモード株式会社 のSaaS事業部hagiです。
今回もあるあるネタを紹介していきます。
ネクストモードでは、Jamf Connectを利用してmacOSのログイン認証にOktaのMFAを利用しています。
メンバーは普段から特に意識なくSaaSを活用しているが故に、ちょっとした引っ掛かりポイントがあったため、忘れる前にしたためておきたいと思います。
ちなみに(ちなまない)、Jamf ConnectとOkta Device Accessに見られるPlatform SSOの機能仕様は似ているようで少し違います。違いについてよく知っている方々についてはまた今度お話したいと思います。許可を得ていないからです。(いつもありがとうございます!)
Okta側の機能に興味がある方は、下記からステップ・バイ・ステップで手順をご確認いただけます。
Desktop MFA for macOSはまだ早期アクセスリリースになっていますので、GAを待ってから試したいよねとお察しの賢明なる情報システム担当におかれましては引き続きJamf ConnectによるOkta MFA連携、パスワード同期機能をご自愛ください。
前提条件:
いきなりこんなことを言ってしまって気を悪くする方がいらっしゃったら申し訳ございません。
macOSのログインパスワードは、現代においても重要なセキュリティ対策の一つであると考えます。
大事なので2回入れます。
今回のきっかけです。
メンバーが上記を思い立ってパスワード変更操作をしたとして。
「どうぞどうぞ。別に。Okta自体はパスワードレス運用だし。関係ないね。」
関係あることを忘れてしまうくらいシームレスに運用しすぎてパスワード同期していることを失念してしまう私です。
→「HELP! 再起動したらOSに入れなくなりました。」
どうしてこうなった
Jamf Connectは、Oktaとのパスワード同期を60 分間隔で行います。
Oktaに追従してローカル側を変更しにいきます。
つまり、ほら、ローカル側を変更しても元に戻されるよね!だめじゃん!
また、「ログインは2回」の件もあります。
なぜ2回なのか。
それは、Apple社が大事なことなのでのミームをジョークで汲み取ってくれたのと合わせてFileVault(暗号化)の安全性が担保されているからに他なりません。
FileVault が有効になっている場合、Jamf Connect ログインウインドウが表示される前に、ユーザは追加の認証手順を完了してコンピュータディスクのロックを解除する必要があります。
同期の前提知識と、FileVaultの2段階(?)認証について完全に理解した。
お待たせいたしました。本編です。
パスワード変更手順:
①Oktaダッシュボードにログイン
②設定からパスワードのリセットを実施→新パスワードを設定
③(OS再起動した後)FileVault画面で旧パスワードを入力
④Okta認証画面で新パスワードを入力→Okta MFA認証
⑤最後にFileVaultの同期のため、ログイン直前で旧パスワードを再度求められる
→完了
いや、なんかもっと良いヒントが冒頭にありましたね。
コレ↓
Jamf Connectを使えばOSの再起動なしにSyncできます。
①Oktaダッシュボードにログイン
②設定からパスワードのリセットを実施→新パスワードを設定
③Jamf Connectのログイン(新パスワード)→Okta MFA認証
④パスワードを同期(旧パスワード)
OSのログインもパスワードレスにしたいけどmacOSとFileVaultを司るApple社を政治的に誘導するお金は持っていないので、思い通りの機能改善が今後進むようお祈りを毎日欠かさないようにしたいと思います。(Apple信者爆誕)