認証設定

コンピュータの構成プロファイルを介して認証設定の構成と展開をする必要があります。これらの設定により、Jamf Connect によるログインウィンドウとメニューバー App での認証が可能となります。また、Mac のローカルユーザアカウントとクラウドアイデンティティプロバイダ (IdP) 間の接続を確立します。

Jamf Connect を使用して認証設定を構成する際は以下の点に注意してください:

  • Jamf Connect メニューバー App の認証設定は、IdPSettings ディクショナリクラスに含まれています。

  • ご利用の環境でメニューバーとログインウィンドウの両方を使用する場合は、Jamf Connect を構成してネットワークアカウントを使って初期パスワードを作成することを推奨します。これにより、アカウントの作成にパスワードの変更を求められなくなります。詳しくは、初期ローカルパスワード作成 を参照してください。

  • クラウド IdP や環境によって認証設定の最小要件は異なります。

アイデンティティプロバイダによる最小限の認証設定

対応する各アイデンティティプロバイダで Jamf Connect を使用するには、以下の最低限の認証設定を構成する必要があります。これらの設定の詳細については、Login Window Preferences (ログインウィンドウ環境設定) および Menu Bar App Preferences (メニューバー App 環境設定) を参照してください。

アイデンティティプロバイダ

ログインウィンドウ

メニューバー App

Azure AD

  • アイデンティティプロバイダ
  • クライアント ID
  • リダイレクト URI
  • アイデンティティプロバイダ
  • クライアント ID

Google Cloud ID

  • アイデンティティプロバイダ
  • クライアント ID
  • クライアントシークレット
  • リダイレクト URI

アイデンティティプロバイダ

IBM Security Verify

  • アイデンティティプロバイダ
  • クライアント ID
  • テナント ID
  • リダイレクト URI
  • アイデンティティプロバイダ
  • クライアント ID
  • テナント ID

Okta

  • アイデンティティプロバイダ
  • 認証サーバ
  • リダイレクト URI (これは、アクセスにゲートを設けたり、ユーザを管理者に昇格させるために、Okta で使用可能なオプションの OIDC 設定でのみ必要です (例:Access Client ID (アクセスクライアント ID) (OIDCAccessClientID) および Admin Client ID (管理クライアント ID) (OIDCAdminClientID))。
  • アイデンティティプロバイダ
  • 認証サーバ

OneLogin

  • アイデンティティプロバイダ
  • クライアント ID
  • テナント ID
  • 成功コード (MFA が有効化されている場合)
  • リダイレクト URI
  • アイデンティティプロバイダ
  • クライアント ID
  • テナント ID
  • 成功コード (MFA が有効化されている場合)

PingFederate

  • アイデンティティプロバイダ
  • クライアント ID
  • ディスカバリー URL
  • リダイレクト URI
  • アイデンティティプロバイダ
  • クライアント ID
  • ディスカバリー URL

カスタム

  • アイデンティティプロバイダ
  • クライアント ID
  • リダイレクト URI
  • ディスカバリー URL
  • アイデンティティプロバイダ
  • クライアント ID
  • ディスカバリー URL

OpenID Connect 認証のためのディスカバリー URL エンドポイント

Jamf Connect は、OpenID Connect 認証プロセスにおいて、お使いのクラウドアイデンティティプロバイダ (IdP) のディスカバリーエンドポイントを使用します。お使いの IdP および構成プロファイルの設定に応じて、Jamf Connect はディスカバリー URL エンドポイント値を見つけるために以下のシーケンスを使用します。

  1. Jamf Connect 構成プロファイルの Discovery URL (ディスカバリー URL) 値。構成すると、この値は、Jamf Connect's が事前に構成した IdP 用のディスカバリー URL の値を上書きします。このオプションは、PingFederate およびカスタム IdP オプションに対して必要です。

  2. Jamf Connect 構成プロファイルで Tenant ID (テナント ID) の値を使用してディスカバリー URL を自動的に構築します。このオプションは、IBM Security Verify および OneLogin に対して必要です。

  3. Jamf Connect で事前に構成されたデフォルトのディスカバリー URL を自動的に使用します。このオプションは、Azure AD および Google Cloud ID によって使用されます。

Jamf Connect での認証において無効なディスカバリー URL を使用しないようにするために、以下を確認する必要があります。

  • PingFederate 以外のアイデンティティプロバイダまたはカスタムオプションを使用している場合、ディスカバリー URL キー値のペアが構成されていないこと、または IdP により文書化されたディスカバリーエンドポイントと一致していることを確認してください。

  • ADFS ハイブリッドアイデンティティ環境で Azure AD とともに Jamf Connect を使用する場合、Discovery URL (ディスカバリー URL) (OIDCDiscoveryURL) が構成されていないことに加えて、Discovery URL (Hybrid ID) (ディスカバリー URL (ハイブリッド ID)) (ROPGDiscoveryURL) に ADFS ディスカバリーエンドポイントが使用されていることを確認してください。

アイデンティティプロバイダのディスカバリーエンドポイント

次のリストは、Jamf Connect で認証を行うために、お使いの環境のコンピュータでセーフリストに登録する必要のある URL の一覧です。
Azure AD (Microsoft アイデンティティプラットフォーム)
https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration
注:

Tenant ID (テナント ID) を構成している場合、上記の URL の「common (共通)」を OIDCTenant 値に置き換えます。

Azure AD
https://login.microsoftonline.com/common/.well-known/openid-configuration
注:

Tenant ID (テナント ID) を構成している場合、上記の URL の「common (共通)」を OIDCTenant 値に置き換えます。

Google Cloud ID

https://accounts.google.com/.well-known/openid-configuration

IBM Security Verify

https://yourtenant.ice.ibmcloud.com/oidc/endpoint/default/.well-known/openid-configuration

Okta (OpenID Connect 認証)

https://yourtenant.okta.com/.well-known/openid-configuration

OneLogin

https://yourtenant.onelogin.com/oidc/2/.well-known/openid-configuration