Jamf Connect Login を Okta で構成する

環境設定キーを設定することで、Jamf Connect Login を構成することができます。

環境設定キーにより、Jamf Connect Login の機能を完全に操作できます。環境設定は、以下のいくつかの方法で設定できます。

  • Jamf Connect Configuration を使用して、構成プロファイルを作成します。
    詳しくは、Jamf Connect Configuration を参照してください。

  • テキストエディターで構成プロファイルを手動で作成します。

  • defaults write コマンドで環境設定を行います。

注: defaults コマンドは、MDM ソリューションによって設定された環境設定を表示しません。

Jamf Connect Login の環境設定キーは、次の場所に書き込まれていなければなりません。

/Library/Preferences/com.jamf.connect.login.plist

Jamf Connect Login はこの .plist ファイルを作成しません。これは手動で作成する必要があります。

Jamf Pro を使用している場合は、アップロードする前に構成プロファイルに署名する必要があります。詳細については、ナレッジベース資料「Deploying Custom Configuration Profiles with Jamf Pro (Jamf Pro を使用したカスタム構成ファイルの展開)」を参照してください。

以下は、Jamf Connect Login を構成するために使用できる .plist ファイルの例です。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AuthServer</key>
<string>Yourcompany.okta.com</string>
<key>DemobilizeUsers</key>
<true/>
<key>CreateAdminUser</key>
<true/>
<key>DenyLocal</key>
<true/>
<key>DenyLocalExcluded</key>
<array>
<string>ここにユーザを記入します</string>
</array>
<key>HelpURL</key>
<string>ここに-help-url-を入力します</string>\
<key>EnableFDE</key>
<true/>
<key>LoginLogo</key>
<string>ここにファイルパスを入力します</string>
<key>BackgroundImage</key>
<string>ここにファイルパスを入力します</string>
<key>OIDCRedirectURI</key>
<string>jamfconnect://127.0.0.1/jamfconnect</string>
<key>OIDCAccessClientID</key>
<string>ここにアクセスクライアント-ID-を入力します</string>
</dict>
</plist>

環境設定キー

以下の表は、Okta に対して Jamf Connect Login で使用されるすべての環境設定キー値の組み合わせを示しています。

注: 構成されていないブール値は、デフォルトで false になります。

必須キー値の組み合わせ

キー

説明

AuthServer

Okta 認証ドメインを指定します

<key>AuthServer</key>

<string>yourcompany.okta.com</string>

キー値の組み合わせ (オプション)

アカウント作成設定

キー

説明

CreateAdminUser

true に設定すると、新しいユーザはコンピュータでローカル管理者になります

<key>CreateAdminUser</key>

<true/>

CreateSyncPasswords

キーチェーンの入力が Jamf Connect Sync のために行われているかどうかを特定します。

<key>CreateSyncPasswords</key>

<true/>

DemobilizeUsers

モバイルアカウントを解除するかどうかを決定します

<key>DemobilizeUsers</key>

<false/>

DenyLocal

ユーザがネットワーク認証をバイパスして、ログインウィンドウでローカル認証を使用できるかどうかを決定します。

True に設定されている場合、ユーザは Okta でログインし、ネットワークに接続する必要があります。

False に設定すると、ユーザは Okta またはネットワーク接続なしでログインできます。

注: true に設定されている場合、ネットワーク接続の問題が発生した際に、ユーザがコンピュータからロックアウトされないようにするために、LocalFallback キーを true に設定することをお勧めします。

<key>DenyLocal</key>

<false/>

DenyLocalExcluded

DenyLocal キーが true に設定されている場合、今後もどのローカルユーザがローカルで認証できるかを指定します。

<key>DenyLocalExcluded</key>

<array>

<string>admin</string>

<string>ladmin</string>

</array>

LicenseFile

Base64 データ形式でエンコードされた .jamfconnectlicense ファイルの内容

注: ライセンスキーをアカウントマネージャが提供する別の構成プロファイルで維持することが推奨されます。

<key>LicenseFile</key>

<data>encoded-license-content</data>

LocalFallback

Okta への認証を最初に強制するために DenyLocal と共に使用されますが、Okta が利用できない場合はローカル認証にその後フォールバックされます。

<key>LocalFallback</key>

<true/>

Migrate

ローカルアカウントを Okta ベースのアカウントに移行することを許可します。

これは通常、ユーザアカウントがシステムで既に作成されていましたが、そのユーザの Okta ID と同じユーザ名とパスワードをアカウントに設定する場合に使用されます。

Jamf Connect Login は、ユーザに Okta を通じてサインインさせることでこれを行い、その後そのユーザと既存のローカルアカウントとの照合を試みます。以下のユーザ移行シナリオを検討してください。

  • ユーザの Okta のユーザ名とパスワードがローカルのユーザ名とパスワードと一致する場合、アカウントは移行されたと見なされます。さらなる手順は必要ありません。

  • ユーザの Okta のユーザ名がローカルのユーザ名と一致しますがパスワードが一致しない場合、ユーザは現在のローカルパスワードを入力するよう求められます。正常に入力されると、Jamf Connect Login は現在のローカルパスワードと現在の Okta のパスワードを使用して、アカウントを現在の Okta のパスワードと同期させます。

  • ユーザの Okta のユーザ名がどのローカルアカウントとも一致しない場合、そのユーザにはローカルアカウントを作成または移行するオプションが与えられます。アカウントを移行するには、ユーザは既存のローカルパスワードを入力する必要があります。この時点で、Jamf Connect Login は、パスワードを Okta のパスワードと同期させ、続いて Okta のユーザ名を別名としてローカルアカウントに追加します。これにより、ユーザは Okta のユーザ名としてシステムにサインインできます。

さらに、Okta はローカルアカウントから Okta ID に関連付けられたアカウントにユーザを移行できます。MigrateDenyLocal の環境設定キーにより、それ以降のすべてのサインインは Okta に対して認証されます。その後、システムはユーザレコードに「OktaUser」属性があるかどうかを確認します。この属性が確認できない場合、ユーザは、ユーザの Okta アカウントに関連付けるために、ローカルアカウントを選択するように求められます。ローカルアカウントの短縮名が Okta の短縮名と一致しない場合、Okta の名前が別名としてアカウントに追加されるため、ユーザはどちらも使用することができます。これにより、ユーザレコードのホームフォルダパスなどの要素も、同じままで維持されます。

注: ユーザの Okta 認証が成功するたびに、そのユーザのレコードは「NetworkSignIn」属性で更新されます。ユーザがローカルでのみ認証された場合、この属性は更新されません。

<key>Migrate</key>

<false/>

MigrateUsersHide

移行プルダウンメニューから除外するローカルアカウントを指定します

<key>MigrateUsersHide</key>

<array>

<string>admin</string>

<string>ladmin</string>

</array>

UIDTool

アカウント作成の際に、ローカルユーザアカウントの UID をカスタム値に設定できる UID ツールへのパスを指定します。これは、ローカルユーザアカウントの UID をユーザの LDAP UID 属性と一致させるのに使用することができます。UID ツールは、実行可能なスクリプトである必要があります。

<key>UIDTool</key>

<string>/Users/Shared/UIDTool</string>

OpenID Connect の設定

注: OpenID Connect (OIDC) 環境設定キー設定では、Okta を OIDC に統合する必要があります。詳細については、本ガイドの「アイデンティティプロバイダとの統合」セクションの「Okta との統合」を参照してください。

キー

説明

OIDCAuthServer

Okta の API ではなく OpenID Connect を使用している場合に、Okta 認証ドメインを指定します。

注: AuthServer と OIDCAuthServer の環境設定キーを単一の構成プロファイルで使用しないでください。

<key>OIDCAuthServer</key>

<string>yourcompany.okta.com</string>

OIDCAccessClientID

コンピュータへのアクセスに使用する OIDC アプリケーション

注: 管理者を含むすべてのユーザを Okta 管理コンソールのこの app に追加し、Jamf Connect Login へのアクセスを確保する必要があります。

<key>OIDCAccessClientID</key>

<string>0oad0gmia54gn3y8923h1</string>

OIDCAdminClientID

ローカルアカウントを作成する際に、誰が管理者であるかを判断するために使用する OIDC アプリケーション

注: 管理者のみを Okta 管理コンソールのこの app に追加する必要があります。

<key>OIDCAdminClientID</key>

<string>0oa0gwese54gn3y9O0h4</string>

OIDCIgnoreCookies

loginwindow に保存されているクッキーを無視します

<key>OIDCIgnoreCookies</key>

<true/>

OIDCSecondaryLoginClientID

最初のユーザが作成された後に誰がローカルアカウントを作成できるかを決定するために使用する OIDC アプリケーション

<key>OIDCSecondaryLoginClientID</key>

<string>0oa0grdsrhdsre54gn3y9O0h4</string>

OIDCRedirectURI

Okta で Jamf Connect App によって使用されるリダイレクト URI。

「https://127.0.0.1/jamfconnect」がデフォルトで推奨されますが、Okta の設定値が Jamf Connect Login 構成プロファイルの値と一致する限り、任意の有効な URI 値を使用できます。

注: プライベートな URL スキームを使用して、リダイレクト URI が他のアドレスと一切競合しないようにしてください。

<key>OIDCRedirectURI</key>

<string>jamfconnect://redirect-URI</string>

Pluggable Authentication Module (PAM)

キー

説明

AuthUIOIDCProvider

PAM で使用できるようにアイデンティティプロバイダ (IdP) を指定します。

<key>AuthUIOIDCProvider<key>

<string>insert-identity-provider</string>

AuthUIOIDCClientID

ユーザを認証するために使用される IdP で作成された app のクライアント ID。

<key>AuthUIOIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

IdP で作成された app により使用されるリダイレクト URI

<key>AuthUIOIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

PAM で使用する IdP のテナントを指定します。

注: Okta が IdP の場合、このキーは必須です。

<key>AuthUIOIDCTenant</key>

<string>dev-123456</string>

AuthUIOIDCClientSecret

IdP の Jamf Connect App のクライアントシークレット。この値は Jamf Connect と IdP によってのみ既知です。

<key>AuthUIOIDCClientSecret</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

FileVault の設定
Jamf Connect を使用したコンピュータで FileVault を有効にするには、「Jamf Connect で FileVault を使用する」のナレッジベース資料を参照してください。

キー

説明

EnableFDE

ログインする最初のユーザに対して Jamf Connect Login が FileVault を有効にしているかどうかを特定します

<key>EnableFDE</key>

<true/>

EnableFDERecoveryKey

true に設定すると、Jamf Connect は、特に指定がない限り、FileVault リカバリキーを /var/db/NoMADFDE に保存します

<key>EnableFDERecoveryPath</key>

<true/>

EnableFDERecoveryKeyPath

リカバリキー用のカスタムパスを指定します

<key>EnableFDERecoveryPath</key>

<string>/usr/local/filevault</string>

EULA 設定

注: EULA 環境設定を構成する前に EULA メカニズムを有効にする必要があります。EULA メカニズムを Jamf Connect Login に追加するには、「EULA メカニズムの追加」を参照してください。

キー

説明

EULAPath

エンドユーザのライセンス契約レコード (EULA) が保存されているファイルを指定します。

<key>EULAPath</key>

<string>/usr/local/shared/EULA.txt</string>

EULAText

EULA に使用されるテキスト

<key>EULAText</key>

<string>ここに EULA テキストを入力します</string>

EULATitle

EULA テキストのタイトル

<key>EULATitle</key>

<string>ユーザの同意</string>

EULASubTitle

EULA テキストのサブタイトル

<key>EULASubTitle</key

<string>規約と条件</string>


メッセージングとアピアランスの設定

キー

説明

BackgroundImage

ログインウィンドウの背景として使用するローカルに保存された画像へのパス

<key>BackgroundImage</key>

<string>/usr/local/shared/background.jpg</string>

LoginLogo

パスワードの検証中またはローカルパスワードの作成中にロゴとして使用するローカルに保存された画像へのパス

注: 250 x 250 のピクセル画像をお勧めします。

<key>LoginLogo</key>

<string>/usr/local/shared/logo.png</string>

LoginScreen

Jamf Connect Login が、ウィンドウの代わりに macOS スタイルのログイン画面を表示するかどうかを決定します。

 

<key>LoginScreen</key>

<true/>

MessageOTPEntry

ユーザがワンタイムパスワード (OTP) をマルチファクタ認証 (MFA) 方式として入力する必要があるときに表示されるテキスト。

<key>MessageOTPEntry</key>

<string>検証コードを入力します。</string>

ヘルプの設定

キー

説明

AllowNetwork Selection

True に設定すると、ユーザはこの環境設定キーを使用して、ログインウィンドウからユーザはネットワーク接続の環境設定を構成および確認できます。有効になっているときにこの機能にアクセスするには、ユーザはログインウィンドウの右下にある Network Connection (ネットワーク接続) をクリックできます。

注: コンピュータのセキュリティを確保するために、ユーザはログインウィンドウで開かれている Wi-Fi ネットワークを使用できません。

<key>AllowNetworkSelection</key>

<true/>

HelpURL

ログインウィンドウに表示する URL を指定し、オンボーディングまたは登録ヘルプのリソースにユーザを誘導します。

<key>HelpURL</key>

<string>yourcompany.help.com</string>

HelpURLLogo

ヘルプ URL のクリック可能なロゴに使用するカスタム画像を追加します。

注: HelpURL キーの指定は必須です。

<key>HelpURLLogo</key>

<string>/usr/local/shared/helplogo.png</string>

LocalHelpFile

Jamf Connect Login ウィンドウで「Help (ヘルプ)」ボタンをクリックすることで、ユーザがアクセスできるローカルファイルへのパス。このファイルは、コンピュータがインターネットに接続できず、HelpURL キーで指定された URL にアクセスできない場合にのみ表示されます。

注: サポートされているファイルの種類には PDF と HTML があります。

<key>LocalHelpFile</key>

<string>/usr/local/shared/JamfConnectHelp.pdf</string>

スクリプト設定

注: スクリプトの環境設定を構成する前に RunScript メカニズムを有効にする必要があります。RunScript メカニズムを Jamf Connect Login に追加するには、「RunScript メカニズムの追加」を参照してください。

キー

説明

ScriptArgs

RunScript メカニズムによって実行される、指定されたスクリプトで使用される引数

注: ScriptPath キーの指定は必須です。

<key>ScriptArgs</key>

<array>

<string>-v</string>

<string>-user</string>

</array>

ScriptPath

RunScript メカニズムによって実行されるスクリプトまたはその他の実行可能ファイルへのパスを指定します。Jamf Connect Login ではいかなるときも 1 つのスクリプトしか使用できません。

<key>ScriptPath</key>

<string>/usr/local/bin/login</string>

関連情報

Jamf Connect Login の追加情報については、本ガイドの以下のセクションを参照してください。

Copyright     個人情報保護方針     使用条件     セキュリティ
© copyright 2002-2019 Jamf. All rights reserved.