シングルサインオン
第三者機関のアイデンティティプロバイダ (IdP) と統合し、Jamf Pro の部分に対して Single Sign-On (SSO) を有効にできます。SSO が構成され、有効になっていると、ユーザはあなたのオーガニゼーション IdP のログインページへ自動的にリダイレクトされます。認証後、ユーザはアクセスしようとしていたリソースにアクセスできるようになります。
Jamf Pro の SSO は以下に対して有効にできます。
-
Jamf Pro サーバ—Jamf Pro の Single Sign-On 設定で Allow users to bypass the Single Sign-On authentication (Single Sign-On 認証をバイパスすることをユーザに許可) チェックボックスが選択されていない限り、未認証のユーザが Jamf Pro サーバへのアクセスを試行する度に、IdP ログインページへリダイレクトされます。
-
User-Initiated Enrollment (iOS と macOS)—ユーザは、User-Initiated Enrollment を完了するために、IdP で認証される必要があります。SSO 認証の際に入力されるユーザ名は、インベントリアップデート中に Jamf Pro が Username (ユーザ名) フィールドに自動入力するために使用されます。
-
Jamf の macOS 用 Self Service—ユーザは、Self Service にアクセスするために IdP で認証される必要があります。SSO 認証の際に入力されるユーザ名は、Scope (適用範囲) の計算のために Jamf Pro により使用されます。Self Service は IdP の既存のユーザ名にアクセスすることができます。
注:
-
SAML プロトコルの送信には、SSL (HTTPS) エンドポイントと POST バインディングの使用が推奨されます。
-
IdP 設定を構成する際、SAML アサーションに SHA-256 かそれ以上の署名の使用が推奨されます。
シングルサインオンと LDAP
LDAP も Jamf Pro と統合されている場合は、SSO の構成時に以下のことに配慮してください。
-
SSO に LDAP ユーザまたはグループを使用する場合、まず最初にそれらを標準的な Jamf Pro のユーザまたはグループとして Jamf Pro ユーザアカウントとグループの設定に追加する必要があります。
-
LDAP が Jamf Pro に統合されている場合、LDAP の制限と除外を使用できます。それらの制限と除外は、Self Service のユーザログイン中に IdP へ入力されるユーザ名と LDAP ユーザ名を照合することで計算されます。
-
LDAP が Jamf Pro に統合されていない場合、Self Service のユーザログイン中に IdP へ入力されるユーザ名と Jamf Pro ユーザアカウントおよびグループを照合することで、ユーザ名の対象と除外を計算します。
Single Logout
Jamf Pro は登録中に IdP 起動による SAML Single Logout (SLO) を使用し、ユーザが Jamf Pro と IdP で開始したすべてのセッションを終了できるようにします。ユーザが登録プロセスを完了した後、Logout (ログアウト) ボタンが利用できるようになります。登録手続き中に表示されるテキストをカスタマイズするには、User-Initiated Enrollment 設定のメッセージ領域を使用します。
SLO は以下のシナリオでは利用できません。
-
IdP がメタデータの SLO エンドポイントを提供していません。
-
Jamf Pro 署名証明書がセットアップされていません。
SLO を使用できない場合、IdP セッションがまだアクティブであるかもしれないことを発信するメッセージがユーザに表示されます。このメッセージは、他のユーザの登録プロセスを実行後、完全にログアウトできない可能性のある Jamf Pro 管理者ユーザにとって重要です。
注: 一般的ではない IdP 構成をサポートする際は、SAML Single Logout に GET バインディング (安全性は POST に劣る) を使用できます。
アイデンティティプロバイダの構成設定
Single Sign-On (シングルサインオン)(SSO) を Jamf Pro に実装するには、アイデンティティプロバイダのコンソール、ポータル、および類似のツールで設定を構成する必要があります。IdP での設定構成は通常、Jamf Pro で SSO を有効にする前に完了する必要があります。そして、一部のよく利用される IdP には、Jamf Pro に固有の事前構成された SSO 設定が行われます。
重要: IdP によっては、SSO のセットアップに IdP と Jamf Pro の間で同時構成を行い、一部の設定が正しくマッピングされるようにすることが必要になることもあります。追加の設定または手順も必要になることがあります。
SSO を構成するための IdP 固有の指示については、以下のナレッジベース資料を参照してください。
-
Configuring Single Sign-On with Okta (Okta による Single Sign-On を構成)
-
Configuring Single Sign-On with Active Directory Federation Services (Active Directory Federation Services による Single Sign-On を構成)
-
Configuring Single Sign-On with Shibboleth (Shibboleth による Single Sign-On を構成)
-
Configuring Single Sign-On with OneLogin (OneLogin による Single Sign-On を構成)
-
Configuring Single Sign-On with Ping Identity (Ping Identity による Single Sign-On を構成)
-
Configuring Single Sign-On with G Suite (Google Apps) (G Suite (Google App) による Single Sign-On を構成)
-
Configuring Single Sign-On with Centrify (Centrify による Single Sign-On を構成)
SSO の Azure AD による構成の詳細については、Microsoft の次のドキュメントを参照してください。 https://docs.microsoft.com/azure/active-directory/saas-apps/jamfprosamlconnector-tutorial
Jamf Pro でシングルサインオンを有効化
要件
Jamf Pro で Single Sign-On (シングルサインオン)(SSO) を有効にするには、以下が必要です。
-
SAML 2.0 プロトコルに対応しているアイデンティティプロバイダ (IdP) との統合
-
IdP のユーザ名またはグループと一致する Jamf Pro ユーザアカウントまたはグループ
-
Jamf Pro と IdP に対する管理者の権限
手順
注: Jamf Pro のサービスとアプリケーションに対して SSO を有効にすると、他のすべてのユーザ認証情報でユーザが認証されなくなります。
-
Jamf Pro にログインします。
-
ページ右上隅の Settings (設定)
をクリックします。 -
System Settings (システム設定) をクリックします。
-
Single Sign-On (シングルサインオン) をクリックします。
-
Edit (編集)
をクリックします。 -
Enable Single Sign-On Authentication (シングルサインオン認証を有効化) チェックボックスを選択してください。
注: Failover Login URL (フェイルオーバーログイン URL) をコピーして、安全な場所に貼り付けます。
-
Identity Provider (アイデンティティプロバイダ) ポップアップメニューからご使用の IdP を選択します。IdP がポップアップメニューで利用できない場合は、Other (その他) を選択してください。
-
エンティティ ID (「https://instancename.jamfcloud.com/saml/metadata」など) は Jamf Pro でデフォルトで事前入力されます。
注: この値は IdP 構成設定のオーディエンス URI 値と通常一致させる必要があります。
-
Identity Provider Metadata Source (アイデンティティプロバイダソース) ポップアップメニューから Metadata URL (メタデータ URL) または Metadata File (メタデータファイル) を選択してください。この値は IdP の構成設定から取得できます。
-
Token Expiration (トークンの有効期限) フィールドに値を分単位で入力してください。この値は、SAML トークンの有効期限が切れる前の時間量を特定するもので、IdP によっては事前入力されます。
重要: この値が IdP で構成されているトークンの有効期限の設定と照合するようにしてください。
-
Configure User Mapping (ユーザのマッピングを構成) の設定:
-
SAML トークンのどの属性を Jamf Pro ユーザにマッピングする必要があるかを選択します。NameID がデフォルトで選択されます。Custom Attribute (カスタム属性) を選択した場合は、IdP が送信した SAML トークンに含まれているカスタム属性を定義してください。
注: Jamf Pro と IdP の情報交換を完了するには、両方のオプションに対して IdP から送信される SAML トークンに NameID 属性を含める必要があります。
-
Username (ユーザ名) または Email (E メール) を選択して、IdP が Jamf Pro ユーザにマッピングされる方法を特定してください。 デフォルトでは、Jamf Pro はユーザに関する情報を IdP から取得し、それを既存の Jamf Pro ユーザアカウントと一致させます。アクセスしてきたユーザのアカウントが Jamf Pro に存在しない場合は、グループ名と照合します。
-
Identity Provider Group Attribute Name (アイデンティティプロバイダのグループ属性名) フィールドで IdP のユーザを定義する SAML トークン属性を入力してください。Jamf Pro は Jamf Pro データベース内のグループをそれぞれ照合し、グループ名を比較します。ユーザには、Jamf Pro ローカルユーザと同様のアクセス権限が、全グループから与えられます。 AttributeValue 文字列を、複数の文字列か単一の文字列、あるいはセミコロンで区切られた値としてフォーマットすることができます。
(例: http://schemas.xmlsoap.org/claims/Group
-
(オプション) LDAP フォーマットである識別名 (DN) で送信された文字列からグループ名を抽出するために、RDN Key For LDAP Group (LDAP グループ用の RDN キー) 設定を使用してください。Jamf Pro は指定済みキーを備えた相対識別名 (RDN) を受信文字列で検索し、RDN キーの値を実際のグループ名として使用します。
注: LDAP ディレクトリサービスの文字列内に、同一キー (すなわち、CN=管理者、CN=ユーザ、O=所属オーガニゼーション) を持つ RDN が複数含まれる場合、Jamf Pro は最も左端の RDN キー (CN=管理者) からグループ名を抽出します。RDN Key for LDAP Group (LDAP グループ用の RDN キー) フィールドが空欄になっている場合、Jamf Pro は LDAP フォーマット文字列全体を使用します。
-
-
(推奨) Jamf Pro Signing Certificate (Jamf Pro 署名証明書) からオプションを選択し、デジタル署名で SAML 通信を保護してください。Jamf Pro 署名証明書をアップロードする場合、SAML トークンの署名および暗号化用のプライベートキーを備えた署名証明書キーストア (.jks または .p12) をアップロードし、キーストアファイルのパスワードを入力した後、プライベートキーの alias を選択し、キーのパスワードを入力します。
-
Jamf Pro 用の以下の SSO オプションの 1 つまたは複数を構成してください。
-
Allow users to bypass the Single Sign-On authentication (シングルサインオン認証をバイパスすることをユーザに許可) を選択すると、Jamf Pro URL に直接移動した際に、ユーザは SSO なしに Jamf Pro にサインインできるようになります。ユーザが IdP を通じて Jamf Pro へアクセスしようとすると、SSO の認証と認可がまだ開始されます。
-
Enable Single Sign-On for Self Service for macOS (macOS 用 Self Service に対してシングルサインオンを有効化) を選択すると、ユーザは IdP ログインページを介して Self Service にログインできるようになります。Self Service は IdP の既存のユーザ名にアクセスすることができます。
注:
-
選択されると、macOS 用 Self Service のログイン設定が Self Service ユーザログイン設定を自動的に変更し、シングルサインオンが使用されるようになります。
-
Self Service の SSO を無効にすると、Self Service のユーザログイン設定が自動的に「ユーザはLDAP アカウントまたは Jamf Pro ユーザアカウントでログインし、使用可能な項目を確認できる」へ戻ります。
-
-
Enable Single Sign-On for User-Initiated Enrollment (User-Initiated Enrollment に対してシングルサインオンを有効化) を選択すると、ユーザは IdP ログインページを介して Jamf Pro に登録できるようになります。有効にされると、コンピュータまたはモバイルデバイスのインベントリをアップデートする際、IdP ログインページのユーザ名が Jamf Pro によりユーザと位置のカテゴリの Username (ユーザ名) フィールドに対して使用されます。IdP のすべてのユーザへのアクセスを許可にしたり、特定のユーザグループのみへのアクセスに制限したりできます。
注:
-
LDAP が Jamf Pro に統合されている場合、Jamf Pro から LDAP へのルックアップを使用することによって、ユーザと位置情報をすべて読み込むことができます。
-
LDAP が Jamf Pro に統合されていない場合、ユーザと位置のカテゴリで自動入力される項目はユーザ名フィールドのみになります。登録中にユーザのルックアップは使用できません。
-
-
-
Save (保存)
をクリックします。
-
(オプション) Jamf Pro メタデータファイルをダウンロードしてください。
ユーザはオーガニゼーションの IdP ログインページに自動的にリダイレクトされるようになり、これにより Jamf Pro の構成された部分にアクセスできるようになります。
SSO 認証設定をテストするには、ウェブブラウザで、Jamf Pro と IdP からログアウトしてから、Jamf Pro URL へ移動します。IdP ページが表示され、認証後に Jamf Pro Dashboard に正常にリダイレクトされるはずです。
SSO の使用中に発生する一般的なエラーを解決するには、Jamf Pro ナレッジベース資料 Troubleshooting Single Sign-On in Jamf Pro (Jamf Pro でのシングルサインオンのトラブルシュート) を参照してください。
関連情報
本ガイドの以下のセクションに関連情報が記載されています。
-
LDAP ディレクトリサービスとの統合
LDAP の構成と LDAP 属性マッピングテストの方法を確認します。 -
Jamf Pro のユーザアカウントおよびグループ
Jamf Pro ユーザアカウントまたはグループの構成に関する詳細を確認します。 -
macOS 用 Jamf Self Service のユーザログイン設定
ユーザが LDAP ディレクトリアカウントを使用して macOS 用 Jamf Self Service へログインすることを義務付ける方法を確認します。 -
コンピュータの User-Initiated Enrollment
ログアウトのメッセージテキストを設定する場所を確認します。 -
User-Initiated Enrollment for Mobile Devices (モバイルデバイス用の User-Initiated Enrollment)
。ユーザがモバイルデバイスを登録する前に、LDAP ディレクトリアカウントを使用して登録ポータルにログインするように要求する方法を確認します。 -
Enrollment Customization 設定
シングルサインオン認証 PreStage 領域を構成するために Enrollment Customization 設定を使用する方法を確認します。