OIDCProvider

Jamf Connect Login で使用される IdP として PingFederate を指定します。

<key>OIDCProvider</key>

<string>PingFederate</string>

OIDCRedirectURI

PingFederate で Jamf Connect App によって使用されるリダイレクト URI。

「https://127.0.0.1/jamfconnect」がデフォルトで推奨されますが、PingFederate の設定値が Jamf Connect Login 構成プロファイルの値と一致する限り、任意の有効な URI 値を使用できます。

<key>OIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

OIDCClientID

ユーザを認証するために使用される PingFederate の Jamf Connect App クライアント ID。

<key>OIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCROPGID

IdP で登録された app のクライアント ID は、リソース所有者パスワード付与 (ROPG) ワークフローを通じて、ユーザのパスワードを認証するために使用されます。この値は通常 OIDCClientID 環境設定キーと一致させる必要があります。

<key>OIDCROPGID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCDiscoveryURL

OpenID 構成情報を保存する OpenID メタデータドキュメント。この値は、次の形式で表示されます: 「 https://domain.url.com/.well-known/openid-configuration 」

<key>OIDCDiscoveryURL</key>

<string>    
https://domain.url.com/.well-known/openid-configuration</string>    

CreateAdminUser

true に設定すると、すべてのユーザはコンピュータで作成されるときにローカル管理者になります。

<key>CreateAdminUser</key>

<false/>

CreateVerifyPasswords

キーチェーンの入力が Jamf Connect Verify のために行われているかどうかを特定します。

<key>CreateVerifyPasswords</key>

<true/>

DemobilizeUsers

既存の Active Direcory モバイルアカウントの「モバイル化の解除」が行われたかどうかを特定します。「モバイル化の解除」とはモバイルアカウントをローカルアカウントに変換するプロセスのことです。

<key>DemobilizeUsers</key>

<false/>

DenyLocal

ユーザがネットワーク認証をバイパスして、loginwindow で Local Auth (ローカル認証) ボタンを使用できるかどうかを決定します。

true に設定すると、Local Auth ボタンは使用できず、ユーザは自分のネットワークに対して認証する必要があります。

false に設定すると、Local Auth ボタンは使用可能であり、ユーザはローカルで認証することを選択できます。

<key>DenyLocal</key>

<false/>

DenyLocalExcluded

DenyLocal が true に設定されている場合、今後もどのユーザがローカルで認証できるかを指定します

<key>DenyLocalExcluded</key>

<array>

<string>ユーザ-1</string>

<string>ユーザ-2</string>

<string>ユーザ-3</string>

<string>ユーザ-4</string>

</array>

LicenseFile

Base64 データ形式でエンコードされた .jamfconnectlicense ファイルの内容。

<key>LicenseFile</key>

<data>encoded-license-content</data>

LocalFallback

IdP への認証を最初に強制するために DenyLocal と共に使用されますが、IdP が利用できない場合はローカル認証にその後フォールバックされます。

<key>LocalFallback</key>

<true/>

Migrate

ローカルアカウントをネットワークアカウントに移行することを許可します。

これは通常、ユーザアカウントがシステムで既に作成されていましたが、そのユーザのクラウド ID と同じユーザ名とパスワードをアカウントに設定する場合に使用されます。

Jamf Connect Login は、ユーザに自分の IdP でサインインさせることでこれを行い、その後そのユーザと既存のローカルアカウントとの照合を試みます。以下のユーザ移行シナリオを検討してください。

• ユーザのネットワークのユーザ名とパスワードがローカルのユーザ名とパスワードと一致する場合、アカウントは移行されたと見なされます。さらなる手順は必要ありません。

• ユーザのネットワークのユーザ名がローカルのユーザ名と一致しますがパスワードが一致しない場合、ユーザは現在のローカルパスワードを入力するよう求められます。正常に入力されると、Jamf Connect Login は現在のローカルパスワードと現在のネットワークのパスワードを使用して、アカウントを現在のネットワークのパスワードと同期させます。

• ユーザのネットワークのユーザ名がどのローカルアカウントとも一致しない場合、そのユーザにはローカルアカウントを作成または移行するオプションが与えられます。アカウントを移行するには、ユーザは既存のローカルパスワードを入力する必要があります。この時点で、Jamf Connect Login は、パスワードをネットワークのパスワードと同期させ、続いてネットワークのユーザ名を別名としてローカルアカウントに追加します。これにより、ユーザはネットワークのユーザ名としてシステムにサインインできます。

さらに、IdP はローカルアカウントからネットワーク ID に関連付けられたアカウントにユーザを移行できます。Migrate と DenyLocal の環境設定キーにより、それ以降のすべてのサインインは IdP に対して認証されます。その後、システムはユーザレコードに「IdPUser」属性があるかどうかを確認します。この属性が確認できない場合、ユーザは、ユーザのネットワークアカウントに関連付けるために、ローカルアカウントを選択するように求められます。ローカルアカウントの短縮名がネットワークの短縮名と一致しない場合、ネットワークの名前が別名としてアカウントに追加されるため、ユーザはどちらも使用することができます。これにより、ユーザレコードのホームフォルダパスなどの要素も、同じままで維持されます。

<key>Migrate</key>

<false/>

MigrateUsersHide

移行プルダウンメニューから除外するローカルアカウントを指定します

<key>MigrateUsersHide</key>

<array>

<string>admin</string>

<string>ladmin</string>

</array>

RightsTmpCache

AuthUI ルールを使用するときに、トークンキャッシュが /tmp/cachedata に設定されているかどうかを判断します

<key>RightsTmpCache</key>

<false/>

UIDTool

アカウント作成の際に、ローカルユーザアカウントの UID をカスタム値に設定できる UID ツールへのパスを指定します。これは、ローカルユーザアカウントの UID をユーザの LDAP UID 属性と一致させるのに使用することができます。UID ツールは、実行可能なスクリプトである必要があります。

<key>UIDTool</key>

<string>/Users/Shared/UIDTool</string>

OIDCNewPassword

true に設定されると、このキーはユーザに新しいローカルアカウントのために新しいパスワードを作成することを求める画面を表示します。

false に設定されると、このキーはユーザにネットワークパスワードを再度入力するように求める画面を表示します。これは、ローカルアカウントパスワードにもなります。これにより、ユーザのネットワークとローカルのパスワードがユーザ作成時に必ず同期されます。

<key>OIDCNewPassword</key>

<true/>

OIDCAdmin

アカウント作成時にどのユーザグループがローカル管理者になるかを指定します。1 つのユーザグループを 1 つの String と指定することや、複数のユーザグループを String の配列で指定することができます。

<key>OIDCAdmin</key>

<string>役割</string>

or

<key>OIDCAdmin</key>

<array>

<string>役割-1</string>

<string>役割-2</string>

<string>役割-3</string>

<string>役割-4</string>

</array>

OIDCAdminAttribute

ユーザが標準ユーザまたは管理者ローカルユーザとして作成されるかを特定するために、ID トークンに保存されるどの属性が使用されるかを指定します。デフォルトでは、Jamf Connect Login は、OIDCAdmin 環境設定キーで指定する任意の値に対して「groups (グループ)」属性を読み込みます。

<key>OIDCAdminAttribute</key>

<string>insert-attribute</string>

OIDCClientSecret

Jamf Connect Login と IdP によって使用されるクライアントシークレット。

<key>OIDCClientSecret</key>

<string>ここにクライアントシークレットを入力します</string>

OIDCIgnoreAdmin

True に設定すると、Jamf Connect Login は IdP に存在するロールをすべて無視します。このキーは、ローカルユーザアカウントが管理者アカウントまたは標準アカウントとして現在のステータスを維持することを保証します。

False または未指定に設定すると、Jamf Connect Login は構成されたロールの OIDCAdmin キーを読み込み、IdP のロールに基づいてローカルユーザアカウントのステータスを変更します。

<key>OIDCIgnoreAdmin</key>

<true/>

OIDCTenant

認証に使用される所属のオーガニゼーションのテナント ID を指定します。

<key>OIDCTenant</key>

<string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>

OIDCDiscoveryURL

OpenID 構成情報を保存する IdP の OpenID メタデータドキュメント。この値は、次の形式で表示されます: 「https://domain.url.com/.well-known/openid-configuration」

<key>OIDCDiscoveryURL</key>

<string>https://identity-provider-example-address.com/.well-known/openid-configuration</string>

OIDCIgnoreCookies

loginwindow に保存されているクッキーを無視します

<key>OIDCIgnoreCookies</key>

<true/>

AuthUIOIDCProvider

PAM で使用できるようにアイデンティティプロバイダ (IdP) を指定します。

<key>AuthUIOIDCProvider<key>

<string>insert-identity-provider</string>

AuthUIOIDCClientID

ユーザを認証するために使用される IdP で作成された app のクライアント ID。

<key>AuthUIOIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

IdP で作成された app により使用されるリダイレクト URI

<key>AuthUIOIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

PAM で使用する IdP のテナントを指定します。

<key>AuthUIOIDCTenant</key>

<string>dev-123456</string>

AuthUIOIDCClientSecret

IdP の Jamf Connect App のクライアントシークレット。この値は Jamf Connect と IdP によってのみ既知です。

<key>AuthUIOIDCClientSecret</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

BackgroundImage

ログインウィンドウの背景として使用するローカルに保存された画像へのパス

<key>BackgroundImage</key>

<string>/usr/local/shared/background.jpg</string>

LoginLogo

パスワードの検証中またはローカルパスワードの作成中にロゴとして使用するローカルに保存された画像へのパス

<key>LoginLogo</key>

<string>/usr/local/images/logo.png</string>

AllowNetwork Selection

True に設定すると、ユーザはこの環境設定キーを使用して、ログインウィンドウからユーザはネットワーク接続の環境設定を構成および確認できます。有効になっているときにこの機能にアクセスするには、ユーザはログインウィンドウの右下にある Network Connection (ネットワーク接続) をクリックできます。

<key>AllowNetworkSelection</key>

<true/>

HelpURL

ログインウィンドウに表示する URL を指定し、オンボーディングまたは登録ヘルプのリソースにユーザを誘導します。

<key>HelpURL</key>

<string>yourcompany.help.com</string>

HelpURLLogo

ヘルプ URL のクリック可能なロゴに使用するカスタム画像を追加します。

<key>HelpURLLogo</key>

<string>/usr/local/shared/helplogo.png</string>

LocalHelpFile

Jamf Connect Login ウィンドウで「Help (ヘルプ)」ボタンをクリックすることで、ユーザがアクセスできるローカルファイルへのパス。このファイルは、コンピュータがインターネットに接続できず、HelpURL キーで指定された URL にアクセスできない場合にのみ表示されます。

<key>LocalHelpFile</key>

<string>/usr/local/shared/JamfConnectHelp.pdf</string>

EnableFDE

ログインする最初のユーザに対して Jamf Connect Login が FileVault を有効にしているかどうかを特定します

<key>EnableFDE</key>

<true/>

EnableFDERecoveryKey

true に設定すると、Jamf Connect は、特に指定がない限り、FileVault リカバリキーを /var/db/NoMADFDE に保存します

<key>EnableFDERecoveryPath</key>

<true/>

EnableFDERecoveryKeyPath

リカバリキー用のカスタムパスを指定します

<key>EnableFDERecoveryPath</key>

<string>/usr/local/filevault</string>

EULAPath

エンドユーザのライセンス契約レコード (EULA) が保存されているファイルを指定します。

<key>EULAPath</key>

<string>/usr/local/shared/EULA.txt</string>

EULAText

EULA に使用されるテキスト

<key>EULAText</key>

<string>ここに EULA テキストを入力します</string>

EULATitle

EULA テキストのタイトル

<key>EULATitle</key>

<string>ユーザの同意</string>

EULASubTitle

EULA テキストのサブタイトル

<key>EULASubTitle</key

<string>規約と条件</string>

ScriptArgs

RunScript メカニズムによって実行される、指定されたスクリプトで使用される引数

<key>ScriptArgs</key>

<array>

<string>-v</string>

<string>-user</string>

</array>

ScriptPath

RunScript メカニズムによって実行されるスクリプトまたはその他の実行可能ファイルへのパスを指定します。Jamf Connect Login ではいかなるときも 1 つのスクリプトしか使用できません。

<key>ScriptPath</key>

<string>/usr/local/bin/login</string>