クラウドアイデンティティプロバイダとの統合
クラウドアイデンティティプロバイダとの統合は LDAP ディレクトリサービスとの統合に似ています。これにより、次のことを実行できます。
-
インベントリの目的で、セキュア LDAP サービスからユーザ情報を検索し、自動入力します。
-
セキュア LDAP サービスから Jamf Pro ユーザアカウントとグループを追加します。
-
ユーザが LDAP ディレクトリアカウントを使用して Self Service または登録ポータルへログインすることを義務付ける。
-
モバイルデバイス設定中に、ユーザが LDAP ディレクトリアカウントを使用してログインすることを義務付ける。
-
リモート管理タスクの適用範囲をセキュア LDAP サービスのユーザまたはグループに基づいて設定します。
Jamf Pro をクラウドアイデンティティプロバイダと統合するためには、アイデンティティプロバイダについて詳細な情報を提供し、Keystore または証明書のファイルをアップロードする必要があります。
Jamf Pro を利用すると、G Suite Enterprise と Cloud Identity Premium の一部である Google のセキュア LDAP サービスと統合できます。サービスは、ユーザ認証やグループ同期のために Jamf Pro で使用できます。
注: Cloud Identity Free または G Suite Basic/Business のライセンスに割り当てられているユーザは、Jamf Pro で認証することはできません。このようなユーザが認証を行おうとすると、INSUFFICIENT_ACCESS_RIGHTS (50) エラーコードが Jamf Pro ログに表示されます。セキュア LDAP サービスエラーコードの情報については、Google の次のドキュメントを参照してください。 https://support.google.com/a/answer/9167101
Cloud Identity Free または G Suite Basic/Business に割り当てられているユーザがユーザ検索結果に表示され、これらを Jamf Pro LDAP アカウントとして追加できます。
セキュア Google LDAP サービスには、標準の LDAP サーバとは異なる構成が必要です。Jamf Pro を LDAP クライアントとしてセキュア LADP サービスに追加し、アクセス権限を構成し、生成された証明書をダウンロードする方法の指示については、Google の以下のドキュメントを参照してください。https://support.google.com/cloudidentity/answer/9048516
Jamf Pro を LDAP クライアントとして追加した後に、 .p12 keystore ファイルを生成する必要があります。詳しくは、Generating the PKCS12 Keystore File When Integrating Google Cloud Identity Provider with Jamf Pro (Google クラウドアイデンティティプロバイダを Jamf Pro と統合する際の PKCS12 キーストアファイルの生成) というナレッジベース資料を参照してください。
Google アイデンティティプロバイダインスタンスの追加
-
Jamf Pro にログインします。
-
ページ右上隅の Settings (設定)
をクリックします。 -
System Settings (システム設定) をクリックします。
-
クラウドアイデンティティプロバイダ
をクリックします。 -
New (新規)
をクリックします。 -
領域で設定を行います。次の制限に配慮してください:
-
構成の表示名は一意である必要があります。
-
ドメイン名の値は、User Mappings (ユーザマッピング) タブおよび Groups Mapping (ユーザグループマッピング) タブのベース検索 dc 値に自動的に入力されます。
-
-
マッピング領域で Object class、検索ベースのデータ、マップ属性を指定します。ベース検索を構成するときは、ディレクトリツリーの階層構造を反映する順序でサーバクエリを構築して、検索が正しい結果を返すようにします。
-
Save (保存)
をクリックします。
LDAP サーバ接続構成はデフォルトで有効にされています。構成を無効にするにはスイッチを使用します。構成を無効にすると、Jamf Pro がこのセキュア LDAP サーバからデータをクエリできなくなります。これは、現在の構成を削除しないで異なるインスタンスを追加できることを意味しています。
Jamf Pro API を使用して、Google のセキュア LDAP サービスインスタンスの属性マッピングを構成することもできます。詳細については、ナレッジベース記事の「Configuring Cloud Identity Provider Attribute Mappings Using Jamf Pro API (Jamf Pro API を使用したクラウド ID プロバイダ属性マッピングの構成)」を参照してください。
LDAP サーバ接続を保存すると、ホスト名、ポート、およびドメインの自動検証がトリガーされます。接続を利用する準備が整う前に、検証プロセスが成功する必要があります。
重要: 大規模な環境では、有効な構成に対する検証プロセスが失敗することがあります。フォームの値が正しいことを確認し、構成を再度保存することを試行してください。
失敗した Google のセキュア LDAP サービス接続のトラブルシューティングを行う際には、Google 管理コンソールで Reports (レポート) に移動し、LDAP Audit ログをチェックします。
クラウドアイデンティティプロバイダの属性マッピングをテストする
以下の属性マッピングをテストできます:
-
ユーザマッピング
-
ユーザグループマッピング
-
ユーザグループメンバーシップマッピング
Jamf Pro が適切な情報を返した場合、属性は正しくマッピングされています。
-
Jamf Pro にログインします。
-
ページ右上隅の Settings (設定)
をクリックします。 -
System Settings (システム設定) をクリックします。
-
クラウドアイデンティティプロバイダ
をクリックします。 -
テスト対象のインスタンス名をクリックします。
-
Test(テスト)
をクリックします。 -
適切なタブをクリックし、フィールドに情報を入力します。
-
再び Test (テスト) をクリックします。
関連情報
本ガイドの以下のセクションに関連情報が記載されています。
-
Jamf Pro のユーザアカウントおよびグループ
LDAP ディレクトリサービスから Jamf Pro にユーザアカウントまたはグループを追加する方法を確認します。 -
macOS 用 Jamf Self Service のユーザログイン設定
ユーザが LDAP ディレクトリアカウントを使用して macOS 用 Jamf Self Service へログインすることを義務付ける方法を確認します。 -
iOS 用 Jamf Self Service
ユーザが LDAP ディレクトリアカウントを使用して iOS 用 Jamf Self Service へログインすることを義務付ける方法を確認します。 -
Self Service Web Clip
ユーザが LDAP ディレクトリアカウントを使用して Self Service web clip へログインすることを義務付ける方法を確認します。 -
コンピュータの User-Initiated Enrollment
コンピュータを登録する前に、ユーザが LDAP ディレクトリアカウントを使用して登録ポータルへログインすることを義務付ける方法を確認します。 -
モバイルデバイスの User-Initiated Enrollment
モバイルデバイスを登録する前に、LDAP ディレクトリアカウントを使用して登録ポータルへログインすることをユーザに義務付ける方法を確認します。 -
モバイルデバイス Prestage Enrollment (事前登録)
PreStage enrollment を使用してモバイルデバイスを登録前に、モバイルデバイス設定中にユーザが LDAP ディレクトリアカウントを使用してログインすることを義務付ける方法を確認します。 -
Scope
LDAP ディレクトリサービスのユーザまたはグループに基づいて Scope (適用範囲) を構成する方法を学びます。