パスワードハッシュ同期とパススルー認証

パスワードハッシュ同期とパススルー認証は、Azure AD のハイブリッドアイデンティティ環境で実装可能な認証方法です。これらは、Azure AD と Active Directory の間の信頼を確立し、次の方法でそれらの間でパスワードを同期できます。

  • パスワードのハッシュ同期 - ユーザの Azure AD とオンプレミスの Active Directory パスワードのハッシュを同期します。

  • パススルー認証 - ユーザが Azure AD とオンプレミス AD の両方で同じパスワードで認証できるようにします。

これら認証方法のいずれかを使用している場合は、認証に Microsoft Identity Platform (v2.0) エンドポイントを使用するように Jamf Connect を構成することにより、どちらの方法と一緒に動作するように Jamf Connect を構成できます。これにより、Jamf Connect は Azure AD を使用してログインウィンドウでユーザを認証し、ユーザのローカルパスワードと Active Directory のパスワードを間接的に同期させることができます。

Microsoft アイデンティティプラットフォーム (v2.0) の詳細については、Microsoft の次のドキュメントを参照してください: https://docs.microsoft.com/azure/active-directory/develop/azure-ad-endpoint-comparison

パスワードハッシュ同期またはパススルー認証を使用した Jamf Connect の構成

要件

手順

  1. Azure AD 環境がパスワードハッシュ同期、またはパススルー認証を使用していること、および Azure AD Connect が正しく設定されていることを確認してください。

  2. 次の環境設定キーを /Library/Preferences/com.jamf.connect.login 構成プロファイルに追加して、ログインウィンドウにおける認証を構成します:

    キー

    説明

    OIDCProvider

    アイデンティティプロバイダ

    認証に使用するクラウド IdP として Azure AD を指定します

    <key>OIDCProvider</key>
    <string>Azure</string>

    OIDCClientID

    クライアント ID

    Jamf Connect 登録済み App のクライアント ID

    <key>OIDCClientID</key>
    <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>

    OIDCNewPassword

    別のローカルパスワードを作成してください

    ユーザにネットワークパスワードの再入力を促します。これはローカルアカウントのパスワードにもなります。これにより、ユーザのネットワークとローカルのパスワードがユーザ作成時に必ず同期されます。

    <key>OIDCNewPassword</key>
    <false/>

    ROPGProvider

    アイデンティティプロバイダ (パスワード検証)

    Jamf Connect がパスワードの同期を試行する場所を特定します。この値を「Azure_v2」に設定します。これにより、Jamf Connect は Microsoft ID プラットフォーム (v2.0) エンドポイントを使用してパスワードを確認できます。

    <key>ROPGProvider</key>
    <string>Azure_v2</string>

    OIDCROPGID

    クライアント ID (パスワード検証)

    Jamf Connect 登録済み App のクライアント ID。これは、OIDCClientID の環境設定キーと同じ値です。

    <key>OIDCROPGID</key>
    <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>

    ROPGTenant

    テナント ID (パスワード検証)

    パスワード検証に使用する組織内のテナント ID。

    <key>ROPGTenant</key>
    <string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>


  3. 次の IdPSettings ディクショナリ キーを com.jamf.connect 構成プロファイルに追加して、メニューバー App とのパスワード同期を構成します:

    キー

    説明

    設定

    Provider

    アイデンティティプロバイダ

    Jamf Connect がパスワードの同期を試行する場所を特定します。この値を「Custom」に設定します。

    <key>Provider</key>

    <string>Custom</key>

    ROPGID

    クライアント ID

    IdP の Jamf Connect App のクライアント ID。この値を使用すると、Jamf Connect がリソース所有者パスワード許可 (ROPG) を完了することができ、このプロセスではパスワードの検証が実施されます。

    <key>ROPGID</key>

    <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

    DiscoveryURL

    ディスカバリー URL

    OpenID Connect ディスカバリエンドポイントを指定します。

    <key>DiscoveryURL</key>

    <string>https://domain.url.com/.well-known/openid-configuration</string>

  4. Jamf Connect Configuration またはテストコンピュータを使用して、構成プロファイルをテストし、認証が正しく構成されていることを確認します。

  5. 構成プロファイルを保存します。

以上で、MDM ソリューションを使用して構成プロファイルを展開することができます。詳しくは、展開 を参照してください。

関連情報

関連情報は、以下を参照のこと:

Copyright     個人情報保護方針     使用条件     セキュリティ
© copyright 2002-2020 Jamf. All rights reserved.