Jamf Connect Login を PingFederate で構成する

環境設定キーを設定することで、Jamf Connect Login を構成することができます。

環境設定キーにより、Jamf Connect Login の機能を完全に操作できます。環境設定は、以下のいくつかの方法で設定できます。

  • Jamf Connect Configuration を使用して、構成プロファイルを作成します。
    詳しくは、Jamf Connect Configuration を参照してください。

  • テキストエディターで構成プロファイルを手動で作成します。

  • defaults write コマンドで環境設定を行います。

注: defaults コマンドは、MDM ソリューションによって設定された環境設定を表示しません。

Jamf Connect Login の環境設定キーは、次の場所に書き込まれていなければなりません。

/Library/Preferences/com.jamf.connect.login.plist

Jamf Connect Login はこの .plist ファイルを作成しません。これは手動で作成する必要があります。

Jamf Pro を使用している場合は、アップロードする前に構成プロファイルに署名する必要があります。詳細については、ナレッジベース資料「Deploying Custom Configuration Profiles with Jamf Pro (Jamf Pro を使用したカスタム構成ファイルの展開)」を参照してください。

以下は、Jamf Connect Login を構成するために使用できる .plist ファイルの例です。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OIDCProvider</key>
<string>PingFederate</string>
<key>OIDCROPGID</key>
<string>9fcc52c7-ee36-4889-8517-c5fed2c78083</string>
<key>OIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>
<key>OIDCClientID</key>
<string>9fcc52c7-ee36-4889-8517-c5fed2c78083</string>
<key>OIDCDiscoveryURL</key>
<string>https://domain.url.com/.well-known/openid-configuration</string>
</dict>
</plist>

環境設定キー

以下の表は、Jamf Connect Login で設定できるすべての環境設定キー値の組み合わせを示しています。

注: 構成されていないブール値は、別途規定がない限り、デフォルトで false になります。

必須キー値の組み合わせ

キー

説明

OIDCProvider

Jamf Connect Login で使用される IdP として PingFederate を指定します。

<key>OIDCProvider</key>

<string>PingFederate</string>

OIDCRedirectURI

PingFederate で Jamf Connect App によって使用されるリダイレクト URI。

「https://127.0.0.1/jamfconnect」がデフォルトで推奨されますが、PingFederate の設定値が Jamf Connect Login 構成プロファイルの値と一致する限り、任意の有効な URI 値を使用できます。

<key>OIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

OIDCClientID

ユーザを認証するために使用される PingFederate の Jamf Connect App クライアント ID。

<key>OIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCROPGID

IdP で登録された app のクライアント ID は、リソース所有者パスワード付与 (ROPG) ワークフローを通じて、ユーザのパスワードを認証するために使用されます。この値は通常 OIDCClientID 環境設定キーと一致させる必要があります。

<key>OIDCROPGID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCDiscoveryURL

OpenID 構成情報を保存する OpenID メタデータドキュメント。この値は、次の形式で表示されます: 「 https://domain.url.com/.well-known/openid-configuration

<key>OIDCDiscoveryURL</key>
<string>    
https://domain.url.com/.well-known/openid-configuration</string>    

キー値の組み合わせ (オプション)

オプションのキー値のペアを設定して、Jamf Connect Login ユーザエクスペリエンスとアカウント作成プロセスをさらにカスタマイズできます。

アカウント作成設定

キー

説明

CreateAdminUser

true に設定すると、すべてのユーザはコンピュータで作成されるときにローカル管理者になります。

<key>CreateAdminUser</key>

<false/>

CreateVerifyPasswords

キーチェーンの入力が Jamf Connect Verify のために行われているかどうかを特定します。

<key>CreateVerifyPasswords</key>

<true/>

DemobilizeUsers

既存の Active Direcory モバイルアカウントの「モバイル化の解除」が行われたかどうかを特定します。「モバイル化の解除」とはモバイルアカウントをローカルアカウントに変換するプロセスのことです。

<key>DemobilizeUsers</key>

<false/>

DenyLocal

ユーザがネットワーク認証をバイパスして、loginwindow で Local Auth (ローカル認証) ボタンを使用できるかどうかを決定します。

true に設定すると、Local Auth ボタンは使用できず、ユーザは自分のネットワークに対して認証する必要があります。

false に設定すると、Local Auth ボタンは使用可能であり、ユーザはローカルで認証することを選択できます。

<key>DenyLocal</key>

<false/>

DenyLocalExcluded

DenyLocal が true に設定されている場合、今後もどのユーザがローカルで認証できるかを指定します

<key>DenyLocalExcluded</key>

<array>

<string>ユーザ-1</string>

<string>ユーザ-2</string>

<string>ユーザ-3</string>

<string>ユーザ-4</string>

</array>

LicenseFile

Base64 データ形式でエンコードされた .jamfconnectlicense ファイルの内容。

注: ライセンスキーをアカウントマネージャが提供する別の構成プロファイルで維持することが推奨されます。

<key>LicenseFile</key>

<data>encoded-license-content</data>

LocalFallback

IdP への認証を最初に強制するために DenyLocal と共に使用されますが、IdP が利用できない場合はローカル認証にその後フォールバックされます。

<key>LocalFallback</key>

<true/>

Migrate

ローカルアカウントをネットワークアカウントに移行することを許可します。

これは通常、ユーザアカウントがシステムで既に作成されていましたが、そのユーザのクラウド ID と同じユーザ名とパスワードをアカウントに設定する場合に使用されます。

Jamf Connect Login は、ユーザに自分の IdP でサインインさせることでこれを行い、その後そのユーザと既存のローカルアカウントとの照合を試みます。以下のユーザ移行シナリオを検討してください。

  • ユーザのネットワークのユーザ名とパスワードがローカルのユーザ名とパスワードと一致する場合、アカウントは移行されたと見なされます。さらなる手順は必要ありません。

  • ユーザのネットワークのユーザ名がローカルのユーザ名と一致しますがパスワードが一致しない場合、ユーザは現在のローカルパスワードを入力するよう求められます。正常に入力されると、Jamf Connect Login は現在のローカルパスワードと現在のネットワークのパスワードを使用して、アカウントを現在のネットワークのパスワードと同期させます。

  • ユーザのネットワークのユーザ名がどのローカルアカウントとも一致しない場合、そのユーザにはローカルアカウントを作成または移行するオプションが与えられます。アカウントを移行するには、ユーザは既存のローカルパスワードを入力する必要があります。この時点で、Jamf Connect Login は、パスワードをネットワークのパスワードと同期させ、続いてネットワークのユーザ名を別名としてローカルアカウントに追加します。これにより、ユーザはネットワークのユーザ名としてシステムにサインインできます。

さらに、IdP はローカルアカウントからネットワーク ID に関連付けられたアカウントにユーザを移行できます。MigrateDenyLocal の環境設定キーにより、それ以降のすべてのサインインは IdP に対して認証されます。その後、システムはユーザレコードに「IdPUser」属性があるかどうかを確認します。この属性が確認できない場合、ユーザは、ユーザのネットワークアカウントに関連付けるために、ローカルアカウントを選択するように求められます。ローカルアカウントの短縮名がネットワークの短縮名と一致しない場合、ネットワークの名前が別名としてアカウントに追加されるため、ユーザはどちらも使用することができます。これにより、ユーザレコードのホームフォルダパスなどの要素も、同じままで維持されます。

注: ユーザのネットワーク認証が成功するたびに、そのユーザのレコードは「NetworkSignIn」属性で更新されます。ユーザがローカルでのみ認証された場合、この属性は更新されません。

<key>Migrate</key>

<false/>

MigrateUsersHide

移行プルダウンメニューから除外するローカルアカウントを指定します

<key>MigrateUsersHide</key>

<array>

<string>admin</string>

<string>ladmin</string>

</array>

RightsTmpCache

AuthUI ルールを使用するときに、トークンキャッシュが /tmp/cachedata に設定されているかどうかを判断します

<key>RightsTmpCache</key>

<false/>

UIDTool

アカウント作成の際に、ローカルユーザアカウントの UID をカスタム値に設定できる UID ツールへのパスを指定します。これは、ローカルユーザアカウントの UID をユーザの LDAP UID 属性と一致させるのに使用することができます。UID ツールは、実行可能なスクリプトである必要があります。

<key>UIDTool</key>

<string>/Users/Shared/UIDTool</string>

OpenID Connect の設定

キー

説明

OIDCNewPassword

 

true に設定されると、このキーはユーザに新しいローカルアカウントのために新しいパスワードを作成することを求める画面を表示します。

false に設定されると、このキーはユーザにネットワークパスワードを再度入力するように求める画面を表示します。これは、ローカルアカウントパスワードにもなります。これにより、ユーザのネットワークとローカルのパスワードがユーザ作成時に必ず同期されます。

注: このキーはデフォルトで true にセットされます。

<key>OIDCNewPassword</key>

<true/>

OIDCAdmin

アカウント作成時にどのユーザグループがローカル管理者になるかを指定します。1 つのユーザグループを 1 つの String と指定することや、複数のユーザグループを String の配列で指定することができます。

注: デフォルトでは、Jamf Connect Login はユーザ ID トークンの「groups (グループ)」属性を読み込み、ローカル管理者にするかどうか特定します。ユーザ作成を特定するために異なる属性を使用するには、OIDCAdminAttribute 環境設定キーを参照してください。

<key>OIDCAdmin</key>

<string>役割</string>

 

or

 

<key>OIDCAdmin</key>

<array>

<string>役割-1</string>

<string>役割-2</string>

<string>役割-3</string>

<string>役割-4</string>

</array>

OIDCAdminAttribute

ユーザが標準ユーザまたは管理者ローカルユーザとして作成されるかを特定するために、ID トークンに保存されるどの属性が使用されるかを指定します。デフォルトでは、Jamf Connect Login は、OIDCAdmin 環境設定キーで指定する任意の値に対して「groups (グループ)」属性を読み込みます。

<key>OIDCAdminAttribute</key>

<string>insert-attribute</string>

OIDCClientSecret

Jamf Connect Login と IdP によって使用されるクライアントシークレット。

<key>OIDCClientSecret</key>

<string>ここにクライアントシークレットを入力します</string>

OIDCIgnoreAdmin

True に設定すると、Jamf Connect Login は IdP に存在するロールをすべて無視します。このキーは、ローカルユーザアカウントが管理者アカウントまたは標準アカウントとして現在のステータスを維持することを保証します。

False または未指定に設定すると、Jamf Connect Login は構成されたロールの OIDCAdmin キーを読み込み、IdP のロールに基づいてローカルユーザアカウントのステータスを変更します。

<key>OIDCIgnoreAdmin</key>

<true/>

OIDCTenant

認証に使用される所属のオーガニゼーションのテナント ID を指定します。

<key>OIDCTenant</key>

<string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>

OIDCDiscoveryURL

OpenID 構成情報を保存する IdP の OpenID メタデータドキュメント。この値は、次の形式で表示されます: 「https://domain.url.com/.well-known/openid-configuration」

注: このキーは、OIDCProvider キーが「Custom」に設定されている場合に必要です。

<key>OIDCDiscoveryURL</key>

<string>https://identity-provider-example-address.com/.well-known/openid-configuration</string>

OIDCIgnoreCookies

loginwindow に保存されているクッキーを無視します

<key>OIDCIgnoreCookies</key>

<true/>

Pluggable Authentication Module (PAM)

キー

説明

AuthUIOIDCProvider

PAM で使用できるようにアイデンティティプロバイダ (IdP) を指定します。

<key>AuthUIOIDCProvider<key>

<string>insert-identity-provider</string>

AuthUIOIDCClientID

ユーザを認証するために使用される IdP で作成された app のクライアント ID。

<key>AuthUIOIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

IdP で作成された app により使用されるリダイレクト URI

<key>AuthUIOIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

PAM で使用する IdP のテナントを指定します。

注: Okta が IdP の場合、このキーは必須です。

<key>AuthUIOIDCTenant</key>

<string>dev-123456</string>

AuthUIOIDCClientSecret

IdP の Jamf Connect App のクライアントシークレット。この値は Jamf Connect と IdP によってのみ既知です。

<key>AuthUIOIDCClientSecret</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

メッセージングとアピアランスの設定

キー

説明

BackgroundImage

ログインウィンドウの背景として使用するローカルに保存された画像へのパス

<key>BackgroundImage</key>

<string>/usr/local/shared/background.jpg</string>

LoginLogo

パスワードの検証中またはローカルパスワードの作成中にロゴとして使用するローカルに保存された画像へのパス

注: 250 x 250 のピクセル画像をお勧めします。

<key>LoginLogo</key>

<string>/usr/local/images/logo.png</string>

ヘルプの設定

キー

説明

AllowNetwork Selection

True に設定すると、ユーザはこの環境設定キーを使用して、ログインウィンドウからユーザはネットワーク接続の環境設定を構成および確認できます。有効になっているときにこの機能にアクセスするには、ユーザはログインウィンドウの右下にある Network Connection (ネットワーク接続) をクリックできます。

注: コンピュータのセキュリティを確保するために、ユーザはログインウィンドウで開かれている Wi-Fi ネットワークを使用できません。

<key>AllowNetworkSelection</key>

<true/>

HelpURL

ログインウィンドウに表示する URL を指定し、オンボーディングまたは登録ヘルプのリソースにユーザを誘導します。

<key>HelpURL</key>

<string>yourcompany.help.com</string>

HelpURLLogo

ヘルプ URL のクリック可能なロゴに使用するカスタム画像を追加します。

注: HelpURL キーの指定は必須です。

<key>HelpURLLogo</key>

<string>/usr/local/shared/helplogo.png</string>

LocalHelpFile

Jamf Connect Login ウィンドウで「Help (ヘルプ)」ボタンをクリックすることで、ユーザがアクセスできるローカルファイルへのパス。このファイルは、コンピュータがインターネットに接続できず、HelpURL キーで指定された URL にアクセスできない場合にのみ表示されます。

注: サポートされているファイルの種類には PDF と HTML があります。

<key>LocalHelpFile</key>

<string>/usr/local/shared/JamfConnectHelp.pdf</string>

FileVault の設定
Jamf Connect を使用したコンピュータで FileVault を有効にするには、「Jamf Connect で FileVault を使用する」のナレッジベース資料を参照してください。

キー

説明

EnableFDE

ログインする最初のユーザに対して Jamf Connect Login が FileVault を有効にしているかどうかを特定します

<key>EnableFDE</key>

<true/>

EnableFDERecoveryKey

true に設定すると、Jamf Connect は、特に指定がない限り、FileVault リカバリキーを /var/db/NoMADFDE に保存します

<key>EnableFDERecoveryPath</key>

<true/>

EnableFDERecoveryKeyPath

リカバリキー用のカスタムパスを指定します

<key>EnableFDERecoveryPath</key>

<string>/usr/local/filevault</string>

EULA 設定

注: EULA 環境設定を構成する前に EULA メカニズムを有効にする必要があります。EULA メカニズムを Jamf Connect Login に追加するには、「EULA メカニズムの追加」を参照してください。

キー

説明

EULAPath

エンドユーザのライセンス契約レコード (EULA) が保存されているファイルを指定します。

<key>EULAPath</key>

<string>/usr/local/shared/EULA.txt</string>

EULAText

EULA に使用されるテキスト

<key>EULAText</key>

<string>ここに EULA テキストを入力します</string>

EULATitle

EULA テキストのタイトル

<key>EULATitle</key>

<string>ユーザの同意</string>

EULASubTitle

EULA テキストのサブタイトル

<key>EULASubTitle</key

<string>規約と条件</string>

スクリプト設定

注: スクリプトの環境設定を構成する前に RunScript メカニズムを有効にする必要があります。RunScript メカニズムを Jamf Connect Login に追加するには、「RunScript メカニズムの追加」を参照してください。

キー

説明

ScriptArgs

RunScript メカニズムによって実行される、指定されたスクリプトで使用される引数

注: ScriptPath キーの指定は必須です。

<key>ScriptArgs</key>

<array>

<string>-v</string>

<string>-user</string>

</array>

ScriptPath

RunScript メカニズムによって実行されるスクリプトまたはその他の実行可能ファイルへのパスを指定します。Jamf Connect Login ではいかなるときも 1 つのスクリプトしか使用できません。

<key>ScriptPath</key>

<string>/usr/local/bin/login</string>

関連情報

Jamf Connect Login の関連情報については、本ガイドの以下のセクションを参照してください。

Copyright     個人情報保護方針     使用条件     セキュリティ
© copyright 2002-2019 Jamf. All rights reserved.