概要

Jamf AD CS Connector を利用すると、PKI プロバイダとして Jamf Pro に Active Directory 証明書サービス (AD CS) を追加できます。AD CS を構成プロファイル経由で証明書をコンピュータやモバイルデバイスに発行するための認証局 (CA) として使用することができます。

Connector は SSL で保護されたウェブアプリケーションであり、Jamf Pro を介してクライアント証明書要求を受信し、Microsoft の IIS ウェブサーバを使用して実行されます。Jamf Pro から要求を受信すると、Connector はウェブ要求を Microsoft のネイティブ DCOM プロトコルに変換し、それを AD CS サーバに渡してから、AD CS の証明書要求番号を返します。次に、Jamf Pro は要求番号を Jamf AD CS Connector を介して AD CS に送り返し、完成した証明書が生成されたかどうかを確認します。証明書の準備ができたら、Jamf Pro に戻され、管理対象のデバイスに配布するために再パックされます。デバイスが Connector に直接接続することはないため、ファイアウォールルールを使用してアクセスを制限できます。Jamf Pro のみが、サービスへの認証に必要なクライアント証明書を保持することになります。

このプロセスは、どちらのサービスも AD CS への安全なウェブフロントエンドを作成するという点で、Microsoft の NDES (SCEP) サーバの役割で使用されるプロセスと似ています。主な違いは、Jamf AD CS Connector では、チャレンジパスワードではなく、接続を認証するためにクライアント証明書が必要なことです。また、Jamf AD CS Connector は複数のテンプレートの使用をサポートしますが、NDES サーバは単一の AD CS 証明書テンプレートを使用します。

証明書の配布のために AD CS を PKI プロバイダとして Jamf Pro に追加する場合には、次の手順を実行します:
Jamf AD CS Connector のインストール

Jamf AD CS Connector は、Windows サーバ上のサービスとして動作し、Jamf Pro が AD CS 認証局サーバと通信することを可能にします。

Jamf AD CS Connector を Jamf Pro に PKI プロバイダとして追加する
これには、Jamf Pro で設定を構成して Connector と AD CS サーバの場所を定義し、クライアントとサーバの証明書を追加して Jamf Pro と Connector 間の認証を許可することが含まれます。
Jamf Pro と AD CS の間の通信が確立された後、証明書展開のために Jamf Pro で次の機能を使用できます:
構成プロファイル
Jamf Pro を利用すると、AD CS を CA として使用して構成プロファイルで証明書を配布できるようになります。
In-House App
Jamf Certificate SDK で開発された In-House App を配布して、証明書ベースの認証をサポートするための ID を確立できます。これらを使用すると、環境に固有のシングルサインオン (SSO) またはその他のアクションを実行できます。これにより、配布中に管理対象の App 構成を App に適用して、App が必要な証明書を要求できるようになります。

AD CS 通信の概要

Jamf Pro は、Jamf AD CS Connector を使用して AD CS と通信し、証明書を取得します。以下の図は、Jamf AD CS Connector の一般的な実装を示しています。

Jamf Cloud と DMZ 内の Jamf AD CS Connector

以下の図は、Jamf AD CS Connector が DMZ 内でホストされている場合の Jamf Pro と AD CS 間の通信の流れを示しています。Jamf Pro はクライアント証明書を使用して Jamf AD CS Connector サーバに対して認証を行い、次に AD CS Connector は DCOM を介して Microsoft CA に接続して証明書を要求します。

Jamf Cloud と DMZ リバースプロキシレイヤー

以下の図は、AD CS Connector とともにリバースプロキシまたはロードバランサーを使用している場合の Jamf Pro と AD CS 間の通信の流れを示しています。リバースプロキシは、DMZ から内部ネットワークに必要なオープンポートの数を減らすため、またはネットワーク環境が DMZ ベースのホストを AD にバインドすることを許可しない場合に、DMZ 内で使用することができます。

DMZ 内のオンプレミス Jamf Pro サーバ

以下の図は、Jamf Pro サーバが DMZ 内でホストされている場合の Jamf AD CS Connector 使用時の Jamf Pro と AD CS 間の通信の流れを示しています。

注:

  • 証明書を受信するには、内部ネットワーク上のデバイスが Jamf Pro と通信できる必要があります。

  • クラスタ化された環境では、各ノードが Jamf AD CS Connector と通信できる必要があります。