JamfとOktaで登録シングルサインオンを極める

Oktaとのパートナーシップにより、Jamfで登録シングルサインオン（ESSO）の提供が開始されました。しかし、現在使用しているIDプロバイダがOktaであるかどうかに関わらず、ESSOの実装を成功させる秘訣は既存のシングルサインオンの環境をじっくりと検証することにあります。

登録シングルサインオン（ESSO）とは

登録シングルサインオンは、クラウドIDプロバイダとしてOktaを使用しているユーザ向けに、Jamf Pro 10.47で登場した新機能です。これにより、ユーザが個人デバイスをMDMに登録する際に、Apple IDやユーザのアクションなしで、「ヘルパーアプリケーション」がデバイスにプッシュされるようになります。このヘルパーアプリには、多要素認証（MFA）やiCloud、メールなどのセットアップや、Jamf ConnectのZTNAの有効化、各種クラウドサービス（Office、Jira、Confluence、Salesforceなど）へのアクセスなどにおいて、必然的に発生する多数のサインイン要求の際に必要となるユーザのクラウドIDプロバイダ（IdP）認証情報が含まれています。

シングルサインオン機能拡張に基づいた登録シングルサインオン

ESSOの登場により、ユーザが携帯電話をセットアップするプロセスが飛躍的に短縮されます。また、登録シングルサインオン拡張機能（ESSOe）を使用することで、キッティング作業がより簡単になり、BYOD（私的端末の業務利用）が長期にわたって快適になります。

シングルサインオン機能拡張（SSOe）は登場してまだ日が浅い機能であるため、まだ実装に至っていない組織も多いはずです。OktaはOkta Identity Engineを使用するすべてのテナントにこの機能を公開し、Microsoftも今年6月からAzureを通じてSSOeを一般提供しています。

シングルサインオンは、デバイスにインストールされたアプリと、MDMによってデバイスにプッシュされた構成プロファイルによって有効になります。

アカウント主導のユーザ登録によって登録された個人デバイスを対象とするESSOeとは異なり、Apple OS向けの標準的な拡張機能であるシングルサインオンは、MDMによって管理された組織所有のデバイス、またはユーザ登録によって登録された個人デバイスですでに利用可能となっている機能です。

そして、今回のシングルサインオンの機能拡張は、Okta Verifyアプリが搭載されたmacOS、iOS、およびiPadOSデバイスで利用できるほか、Azureでは、ポータル サイト アプリ（msOS）およびMicrosoft Authenticatorアプリ（iOS/iPadOS）で利用できます。

どのIDプロバイダを使用しているかに関わらず、デバイス上に上記のアプリがあり、Jamf経由で構成プロファイルがプッシュされてさえいれば、この機能を利用できます。Oktaにデバイスを登録する必要も、Azureの条件付きアクセスにデバイスを登録する必要もありません。IDプロバイダの認証情報を使って一度ログインするだけで有効になり、それ以降は、ヘルパーアプリを使ってユーザの認証情報を自動的にキャッシュし、サービス用のアクセストークンを要求するよう、SSOeがAppleデバイスに通知してくれます。

シングルサインオンを使用するための認証ポリシーの変更

ESSOを機能させるには、シングルサインオンを使用できるように認証ポリシーと条件付きアクセスポリシーを更新する必要があります。今のうちに、アイデンティティ管理を担当するチームと一緒に、Okta Verifyを認証方法として使用することを検討しておくといいでしょう。セキュリティを強化するために、偽造不可能な「第2の認証要素」としての生体認証について話し合っておくことも重要です。 Azureユーザの場合、現時点ではESSOは利用できませんが、条件付きアクセスポリシーで最新の認証強度とMFAの要求を検討することをお勧めします。

エンドユーザがメールやiCloudといったクラウド上のリソースにアクセスしたり、Jamf ConnectのZTNAなどをアクティベートしたりするためには、この新しく簡素化されたログインプロセスが認証ポリシーや条件付きアクセスポリシーによって許可されている必要があります。これを行わない場合は、これまでと同様に1日に何度もパスワードを入力しなければなりません。

Jamf Pro経由で検証対象のテストグループやデバイスを設定

ローカルで検証できるアプリや構成とは異なり、SSOeはJamf ProやJamf SchoolのようなMDMを介してプッシュする必要があります。ですが、これはとても簡単です。

アイデンティティ管理の担当者が認証ポリシーと条件付きアクセスポリシーを設定したら、検証用デバイスと日常の業務の中でSSOeを試してくれるボランティアを用意します。スタティックデバイスグループまたはスタティックコンピュータグループを使用すれば、ポリシーまたはVPP自動インストール機能を介してOkta Verifyアプリと構成プロファイルを特定のグループに配布することができます。

検証グループにアプリと構成プロファイルが届いたら、あとは普段通りに業務を行ってもらうだけです。クラウド上のアプリケーションにログインし、OAuth、SAML、またはOIDCログインでゲートされた企業ウェブサイトにアクセスするだけで、SSOeの素晴らしさを体験できます。

ユーザが業務に必要なリソースに簡単にアクセスしながら快適に仕事を続けられることが確認できたら、あとは同じアプリと構成をフリート全体に導入するだけです。シングルサインオンが文字通り「一度きりのサインオン」を意味し、1日に何度もパスワードを入力する手間から解放されたことを実感した従業員たちの、満足な声がまもなく聞こえてくるはずです。