由 Jamf 與 Okta 共同驅動的「註冊 SSO」終於登場,但是不論你選擇了哪一間身分供應商,測試既有的 SSO 流程始終是邁向成功的辦法。
註冊 SSO 是什麼?
隨著 Jamf Pro 10.47 版的發佈,若 Okta 剛好又是貴公司的雲端身分供應商的話,那麼當使用者將個人裝置註冊至 MDM 時,系統就會先推送 helper app 至裝置,此時使用者就不需另外輸入 Apple ID 或採取其他動作。光是設定 Apple 的 iCloud、電子郵件、多重要素驗證 (MFA)、啟用 Jamf Connect 與零接觸部署 (ZTNA),又或者是存取雲端服務如 Office、Jira、Confluence、Salesforce 等,必要的登入請求就已多達 27 項,因此 helper app 會保留使用者的身分供應商 (IdP) 憑證,以供稍後使用。
註冊 SSO 是以 SSO 擴充功能為基礎
使用者設定手機的時間,將快上許多。長遠來看,註冊 SSO 擴充功能 (ESSOe) 可以讓入職體驗變得更輕鬆、與公司的自備裝置 (BYOD) 體驗更愉悅。
「SSO 擴充功能」(SSOe) 十分新穎,因此你所在的環境可能還尚未導入此功能。Okta 現已將此功能開放給所有 Okta Identity Engine 的租戶,而 Microsoft 這個月 (2023) 也在 Azure 上開放 SSOe 正式發佈 (GA) 版。
SSO 服務須由安裝在裝置上的 App 啟用並透過 MDM 將設定描述檔向下派發至裝置。
有別於 ESSOe 為以帳號式「使用者註冊」註冊的個人裝置所設計,Apple 作業系統的標準擴充功能 SSOe 現在起也開放給由 MDM 管理的裝置——不論這些設備是透過「使用者註冊」註冊的個人裝置,還是以任一方式註冊的機構所有裝置,都將可用 SSOe。
SSOe 是由 macOS、iOS 及 iPadOS 上的 Okta Verify App 所驅動。使用 Azure 的話,此擴充功能則是由 macOS 上的 Company Portal 與 iOS 和 iPadOS 上的 Microsoft Authenticator 所驅動。
無論是哪一家身分供應商,有了這個 App,再搭配由 Jamf 推送的設定描述檔,這樣幾乎就能滿足使用者端的所有需求。他們不需要為了 Okta 和 Azure 的條件式存取另外註冊裝置,只需要登入由身分供應商控管的資源,一次就足夠。接著 SSOe 會通知 Apple 裝置使用 helper app 來自動臨時儲存使用者的憑證以及協調存取代號以取用服務。
修改驗證政策以使用 SSO 服務
要讓 ESSO 成功運作,首先得先將驗證與條件式存取政策適當調整,以利使用 SSO 服務。我們建議你現在就花些時間與身分團隊溝通,討論改以 Okta Verify 作為驗證方法,並以生物辨識技術作為防釣魚攻擊的「第二要素」,實現更進階的安全防護機制。如果是 Azure 的使用者,雖然 ESSO 目前還不可用,但是也能討論在條件式存取的政策中啟用新的「驗證強度」以及「要求啟用 MFA」機制。
驗證或條件式存取政策若沒有為使用者啟用這項全新的簡化登入機制,則存取雲端資源時 (如電子郵件、iCloud、啟用 Jamf Connect ZTNA 流程還有更多),就會預設為每天都要輸入密碼 27 次。
以 Jamf Pro 派送檔案至測試組與設備
SSOe 必須must透過 Jamf Pro 或 Jamf School 這樣的 MDM 來向下派發檔案,所以和一些在本機就可以進行測試的 App 或描述檔不同,但我們已做好十足準備。
在你的身分團隊設置完驗證與條件式存取政策後,接著請設定一組測試裝置並邀請自願參與測試的團隊來每天測試 SSOe。你可以使用「靜態裝置群組」或「靜態電腦群組」功能來挑選特定組別接收 Okta Verify App 的通知,並且可以透過政策、描述檔以及 VPP 自動安裝這些方式來派送。
等到測試組收到 App 與配置時,接著只需執行一般日常任務即可。試著登入雲端 App、點按公司網站上由 OAuth、SAML 及 OIDC 協定管理的資源,看看新功能是否奏效。
等到使用者覺得沒問題,你也確認過他們能正常存取工作所需的重要資源後,接著就可以派送 App 和配置設定到裝置上,翹起二郎腿等著大家驚喜的「哇~」,而不是永無止盡的每天都要輸入 27 次帳號密碼。
透過 Jamf 與 Okta 達成便利的 ESSO
訂閱 Jamf 部落格
將市場走向資訊、Apple 最新消息、Jamf 新聞等,直接發送到你的收件匣。
若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。