Desktop Password Sync:macOSのプラットフォームSSOを最大限に活用
ゼロトラストアーキテクチャの台頭により、新たな課題が浮上しています。ゼロトラストのアプローチでは、ユーザーの資格情報が有効であることを信頼するだけでは不十分です。また、デバイス自体を検証して、組織のセキュリティ基準を満たしていることを確認する必要もあります。
この課題に対処する上で鍵となる方法として、組織のアイデンティティプロバイダーが検証した資格情報を使用するデバイスログインの利用が挙げられます。このアプローチでは、ユーザーは組織の資格情報を使用してデバイスにログインします。これによって、パスワードを統合し、ユーザーと管理者の両方のエクスペリエンスを向上させることができます。
開発者は、macOS Venturaで導入されたプラットフォームSSOを使用して、macOSのログインウインドウと直接やり取りするシングルサインオン(SSO)機能拡張を作成できるようになります。この拡張機能により、ユーザーはシンプルなMacネイティブのワークフローを通じて、ローカルのmacOSアカウントをアイデンティティプロバイダーにリンクできます。Oktaは、この新機能を率先して採用し、Okta Device Accessサービスの機能として近く提供を開始するDesktop Password Syncで活用しています。これにより、ユーザーはmacOSのログイン画面から直接Oktaの資格情報を使用して認証できます。
Desktop Password Syncは、ローカルのmacOSアカウントのパスワードとOktaのパスワードを同期するだけではなく、フィッシング耐性のあるパスワードレスのオーセンティケーターであるOktaのFastPassにユーザーを登録します。Okta FastPassにより、ユーザーは生体認証を使用して組織のリソースに対するパスワードレス認証を利用できます。
macOSでのアクセス管理の現状
現在、macOSでのアクセス管理には複数の課題があります。パスワードの複雑さ、長さ、有効期限に関して、ローカルアカウントでユーザーがベストプラクティスに従っていることを確認するのは、必ずしも容易ではありません。そのため、攻撃者がパスワードを容易に推測/解読できる可能性があり、そのような場合には組織のリソースが危険にさらされます。
モバイルデバイス管理(MDM)ソリューションなどのツールは、パスワードポリシーを適用し、ドメインに参加しているMacデバイスでLDAP同期を可能にします。しかし、macOSでのアクセス管理は、ユーザーと管理者の両方にとって依然として面倒なプロセスになる可能性があります。多くの場合、ユーザーは複数のパスワードとログイン資格情報を維持する必要があり、そのためにフラストレーションやセキュリティリスクが生じかねません。また、管理者は、さまざまなツールやワークフローを管理して、必要なセキュリティ制御を維持しながら、ユーザーが必要なリソースにアクセスできるように確保する必要があります。
Desktop Password Syncを使用することで、ユーザーが覚える必要のある資格情報は、Oktaユーザー名とパスワードのセットだけになります。Oktaの管理コンソールで強力なパスワードポリシーを設定することで、組織はユーザーがデバイスやWebリソース全体でパスワードのベストプラクティスに従っていることを確認できます。この新機能により、Oktaはアクセス管理を簡素化し、組織のセキュリティを向上させることができる有望なソリューションを提供します。
ユーザージャーニー
Desktop Password Syncのフローは、登録と認証の2段階で構成されます。
- ユーザーがデバイスにログインすると、次のシステム通知が表示され、登録を求められます。
- [Register]をクリックすると、シンプルなMacネイティブのワークフローが表示されます。
- 次に、システムはエンドユーザーにローカルアカウントのパスワードを最後にもう一度入力するように求め、その後にOktaがパスワードを管理できるようにします。
- この登録が完了すると、ユーザーがOktaで認証できるようになります。システムは、Macデバイスに同期するためにOktaのパスワードを入力するようユーザーに求めます。
- この処理が成功すると、macOSはローカルアカウントのパスワードをOktaのパスワードと一致するように更新し、ユーザーがOktaのパスワードを使用してデバイスにログインできるようにします。
- これでDesktop Password Syncが完了しました。ユーザーは、Oktaの資格情報を使用して、シームレスにMacにログインできます。さらに、登録プロセスの一環として、ユーザーがFastPassに登録されました。これにより、ユーザーは生体認証だけでブラウザやネイティブアプリにもアクセスできるようになります。
さらに深く掘り下げる
登録のオーケストレーションを実行するのは、Okta VerifyのSSO拡張機能です。登録プロセスでは、最初にmacOSが2つの公開鍵/秘密鍵ペア(1つはデバイス署名用、もう1つはデバイス暗号化用)を生成します。秘密鍵はMacでローカルに保持され、macOSのプラットフォームSSOプロセスによってネイティブに管理されます。OktaのSSO拡張機能は、公開鍵を使用できるようになると、両方の鍵をOktaのバックエンドサーバーに登録すると同時に、ローカルアカウントとユーザーのOktaアカウント間にリンクを作成します。鍵とユーザーリンクが確立されることで、MacとOktaのバックエンドは安全に通信でき、ユーザーはOktaの資格情報を使用してデバイスにログインできます。
フローの登録段階では、制御がSSO拡張機能に部分的に委任されます。しかし、認証プロセスはオペレーティングシステム自体によって駆動され、AppleのプラットフォームSSOプロトコルを使用してOktaのサーバーと直接通信します。このプロトコルでは、最初にオペレーティングシステムがサーバーnonceを要求します。nonce要求が成功すると、オペレーティングシステムは、登録手順で保存されたデバイス署名鍵で署名されたJWTを構築します。JWTには、デバイスのログイン時にユーザーが入力したユーザー名とパスワード、そして先に要求されたサーバーnonceが含まれています。このJWTは、Oktaのトークンエンドポイントに送信され、JWTの資格情報と署名が検証され、パスワード同期が既知の登録済みMacから実行されていることを確認します。Oktaのトークンエンドポイントは、デバイス暗号化キーで暗号化されたJSON Web Encryption(JWE)トークンで応答します。この暗号化によって、このMacだけがトークンを復号してアクセスできるようになります。Oktaサーバーからトークンを受け取ったmacOSは、署名検証を実行します。認証ステップの最後に、ローカルアカウントのパスワードが更新されてOktaのパスワードとの同期が維持され、オペレーティングシステムにトークンが安全に保存されます。
まとめ
職場が進化してゼロトラストのアーキテクチャへと移行する中、組織は新しいテクノロジーを採用してリソースのセキュリティを確保しなければなりません。OktaのDevice Access製品は、お客様に大きなメリットをもたらします。この強力なテクノロジーを活用することで、セキュリティを強化し、ユーザーエクスペリエンスを向上させ、アイデンティティとアクセスの管理を合理化できます。
これまでは、組織にとってmacOSでのアクセス管理が課題となっていました。しかし、OktaのDevice Access製品の一環として導入されるDesktop Password Syncを使用して、ユーザーをFastPassに登録することで、macOSのパスワード管理を簡素化し、セキュリティと利便性を両立できます。
Oktaは、macOS向けの最善なアクセス管理の実現に向けて、Appleと緊密に連携しています。詳細は、Okta Device AccessのWebページをご覧ください。
このブログ記事についてのご質問は、[email protected]までお寄せください。Oktaのエンジニアリング関連ブログでは、貴重な知見を提供しています。 当社の熱意ある優秀なエンジニアチームで働きませんか?採用情報ページをご覧ください。Oktaは、最新かつ高度なアイデンティティ管理の可能性を解き放ちます。詳細は、営業担当者にお問い合わせください。