フェデレーション統合

フェデレーション統合とは、ご利用のクラウドアイデンティティプロバイダ (IdP) が、オンプレミスの Active Directory Federate Services (ADFS) などの別の認証方法に認証を渡すことが可能となるハイブリッドアイデンティティソリューションです。

ADFS を使用したフェデレーション統合をご利用の環境に実装すると、Jamf Connect を認証とパスワードの同期にクラウドとオンプレミスの異なるエンドポイントを使用するように構成して、Jamf Connect がご利用のフェデレーション統合と連携して動作するように構成することができます。

  • Azure AD

    Azure AD に登録済みの App とエンドポイントを使用して、Azure AD からアクセス、更新、および ID トークンを取得する認証コードの付与を実行します。

  • ADFS

    ADFS App とエンドポイントを使用して、ユーザのローカルユーザ名とパスワードがオンプレミスの Active Directory と同期されていることを確認するリソース所有者パスワード許可 (ROPG) を実行します

    Azure AD でのフェデレーション統合についてさらに確認するには、Microsoft のドキュメントの Azure AD Connect とフェデレーションをご参照ください。

次の図は、Jamf Connect が両方のエンドポイントを使用してローカルアカウントを作成し、パスワードを同期する方法を示しています。

ADFS を使用した Jamf Connect の構成

要件
  1. ご利用の Azure AD と ADFS 環境が正常に構成されていることと、OpenID Connect 認証プロトコル向けに構成されていることを確認します。
  2. 以下の環境設定キーをご利用のログインウィンドウ構成プロファイルに追加します。

    設定

    説明

    Identity Provider (アイデンティティプロバイダ)

    OIDCProvider

    認証に使用するクラウド IdP として Azure AD を指定します。

    <key>OIDCProvider</key>
<string>Azure</string>

    Client ID (クライアント ID)

    OIDCClientID

    ユーザを認証するために使用される IdP で登録された app のクライアント ID。

    <key>OIDCClientID</key> <string>8zcc52c7-ee36-4889-8517-lkjslkjoe23</string>

    Create a Separate Local Password (別のローカルパスワードを作成してください)

    OIDCNewPassword

    ユーザにネットワークパスワードの再入力を促します。これはローカルアカウントのパスワードにもなります。これにより、ユーザのネットワークとローカルのパスワードがユーザ作成時に必ず同期されます。

    <key>OIDCNewPassword</key> <false/>

    Identity Provider (Hybrid ID) (アイデンティティプロバイダ (ハイブリッド ID))

    ROPGProvider

    Jamf Connect がパスワードの同期を試行する場所を特定します。この値を「Custom」に設定すると、Jamf Connect が ADFS を使用します。

    <key>ROPGProvider</key> <string>Custom</string>

    Client ID (Password Verification) (クライアント ID (パスワード検証))

    OIDCROPGID

    ご利用の Jamf Connect ADFS アプリケーションのクライアント ID。

    <key>OIDCROPGID</key> <string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>

    Redirect URI (Hybrid ID) (リダイレクト URI (ハイブリッド ID))

    ROPGRedirectURI

    ADFS で作成されたアプリケーションにより使用されるリダイレクト URI。

    <key>ROPGRedirectURI</key> <string>https://127.0.0.1/jamfconnect</string>

    Discovery URL (Hybrid ID) (ディスカバリー URL (ハイブリッド ID))

    ROPGDiscoveryURL

    OpenID Connect ディスカバリエンドポイントを指定します。この値には、ADFS ドメインと次の組み合わせが含まれます: 「/adfs/.well-known/openid-configuration」

    <key>ROPGDiscoveryURL</key> <string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>
  3. 以下の IdPSettings 環境設定キーをご利用のログインウィンドウ構成プロファイルに追加します:

    設定

    説明

    Identity Provider (アイデンティティプロバイダ)

    Provider

    Jamf Connect がパスワードの同期を試行する場所を特定します。この値を「Custom」に設定すると、Jamf Connect が ADFS を使用します。

    <key>Provider</key> <string>Custom</key>

    Discovery URL (ディスカバリー URL)

    DiscoveryURL

    OpenID Connect ディスカバリエンドポイントを指定します。この値には、ADFS ドメインと次の組み合わせが含まれます: 「/adfs/.well-known/openid-configuration」

    <key>DiscoveryURL</key>
<string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>

    Client ID (クライアント ID)

    ROPGID

    ご利用の Jamf Connect ADFS アプリケーションのクライアント ID。

    <key>ROPGID</key>
<string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>
  4. Jamf Connect Configuration またはテストコンピュータを使用して、構成プロファイルをテストし、認証が正しく構成されていることを確認します。
  5. 構成プロファイルを保存します。

以上で、MDM ソリューションを使用して構成プロファイルを展開することができます。