ログインウィンドウの設定

このリファレンスには、Jamf Connect ログインウィンドウで利用可能なすべての設定が含まれています。Jamf Connect 構成、または Configuration Profiles (構成プロファイル) > Application & Custom Settings (アプリケーション&カスタム設定) で作成した Jamf Pro 構成プロファイルのいずれかにおいて、環境設定を構成します。詳しくは、構成を参照してください。

ログインウィンドウの認証設定

  • ドメインcom.jamf.connect.login
  • 説明

    ログインウィンドウで Jamf Connect が IdP とローカルアカウント間の認証を完了できるようにするために使用されます。必要となる設定は IdP によって異なります。

設定

説明

アイデンティティプロバイダ

OIDCProvider

クラウドアイデンティティプロバイダを指定します。以下の値がサポートされています。

  • Azure
  • IBMCI
  • GoogleID
  • OneLogin
  • Okta
  • PingFederate
  • Custom
<key>OIDCProvider</key>
<string>Azure</string>

認証サーバ

AuthServer

(Okta のみ) オーガニゼーションの Okta ドメインの URL を指定します。

<key>AuthServer</key> <string>yourcompany.okta.com</string>

クライアント ID

OIDCClientID

ユーザを認証するために使用される IdP の Jamf Connect app のクライアント ID を指定します。

<key>OIDCClientID</key> <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

リダイレクト URI

OIDCRedirectURI

IdP で Jamf Connect App により使用されるリダイレクト URI を指定します。

「https://127.0.0.1/jamfconnect」がデフォルトで推奨されますが、IdP の構成値が Jamf Connect Login 構成プロファイルの値と一致する限り、URI の値を使用することができます。

<key>OIDCRedirectURI</key> <string>https://127.0.0.1/jamfconnect</string>

クライアントシークレット

OIDCClientSecret

Jamf Connect Login と IdP によって使用されるクライアントシークレットを指定します。

<key>OIDCClientSecret</key> <string>insert-client-secret-here</string>

テナント ID

OIDCTenant

認証に使用される所属のオーガニゼーションのテナント ID を指定します。

<key>OIDCTenant</key> <string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>

ディスカバリー URL

OIDCDiscoveryURL

OpenID 構成情報を保存する IdP の OpenID メタデータドキュメントを指定します。この値は、次の形式で表示されます: 「https://domain.url.com/.well-known/openid-configuration」

注:

Identity Provider (アイデンティティプロバイダ) (OIDCProvider) が Custom または PingFederate に設定されている場合に、このキーが必要です

<key>OIDCDiscoveryURL</key> <string>https://identity-provider-example-address.com/.well-known/openid-configuration</string>

パススルー認証を使用する

OIDCUsePassthroughAuth

ローカル認証の際に、サインイン Web ビューに入力したユーザのネットワークパスワードを Jamf Connect に安全に送信します。これにより、Jamf Connect はユーザにパスワードの再入力を求めることなく、ネットワーク認証とローカル認証を完了することができます。これにより、ローカルアカウントの作成時に、ネットワークパスワードがローカルパスワードとして自動的に使用されます。この設定はデフォルトで無効 (false に設定) にされています。

Azure AD を使用する場合、OIDCNewPassword 設定を無効 (false に設定) にする必要があります。

<key>OIDCUsePassthroughAuth</key> <false/>
詳しくは、Jamf Connect を使用したパススルー認証 を参照してください。

Change Password URL (パスワード変更 URL)

ChangePasswordURL

(OIDC 認証のみ) アイデンティティプロバイダのパスワード変更ページへの URL を指定します。この URL は、新しくプロビジョニングされたコンピュータのユーザの現在のパスワードまたは一時パスワードが IT 管理のパスワードポリシーの要件を満たしていない場合に、ユーザがパスワードを変更する際に役立ちます。

<key>ChangePasswordURL</key> <string>https://IDP_EXAMPLE.com/.well-known/change-password</string>

ライセンスファイル

LicenseFile

Base64 データ形式でエンコードされた Jamf Connect ライセンスファイルのコンテンツを指定します。ライセンスファイルは Jamf Account から入手できます。

<key>LicenseFile</key> <string>encoded-license-content</string>

初期パスワードの設定

  • ドメインcom.jamf.connect.login
  • 説明

    Jamf Connect がアカウント作成時にどのようにローカルパスワードを作成するのか、またユーザのローカルパスワードとネットワークパスワードが同期していることを確かめるために、ログインごとに確認する必要があるのかどうかを、決定するのに使用します。

設定

説明

別のローカルパスワードを作成してください

OIDCNewPassword

 

有効 (true に設定) にされると、この設定はユーザに新しいローカルアカウントのために新しいパスワードを作成することを求める画面を表示します。

無効 (false に設定) にされると、このキーはユーザにネットワークパスワードを再度入力するように求める画面を表示します。これは、ローカルアカウントパスワードにもなります。これにより、ユーザのネットワークとローカルのパスワードがユーザ作成時に必ず同期されます。

注:

この設定はデフォルトで有効 (true に設定) にされています。

<key>OIDCNewPassword</key> <true/>

クライアント ID (パスワード検証)

OIDCROPGID

リソース所有者パスワード付与 (ROPG) ワークフローを通じてユーザのパスワードを認証するために使用される、IdP で登録された app のクライアント ID を指定します。通常、この値は OIDCClientID 設定と一致します。

<key>OIDCROPGID</key> <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

Jamf Connect キーチェーンの作成

CreateJamfConnectPassword

アカウント作成プロセス時に Jamf Connect 用のキーチェーン項目を自動作成します。これにより、Jamf Connect メニューバーアプリを最初に開いたとき、サインイン画面にユーザ認証情報を入力することができます。

注:

この設定を使用するには、Create a Separate Local Password (別のローカルパスワードを作成してください) (OIDCNewPassword) 設定を無効 (false に設定) にする必要があります。

<key>CreateJamfConnectPassword</key> <true/>

パスワード検証の成功コード

ROPGSuccessCodes

Jamf Connect で成功したと解釈される必要がある、ROPG パスワード検証中に IdP からのエラーコードを含む文字列の配列を指定します。

ご使用の環境で構成する必要がある可能性のあるエラーコードについては、Microsoft のAzure AD 認証と承認のエラーコードを参照してください。

お使いの環境で OneLogin と多要素認証を使用する場合、この設定を MFA に設定してください。

<key>ROPGSuccessCodes</key> <array> <string>AADSTS50012</string> <string>AADSTS50131</string> </array>

ローカルおよびネットワーク認証管理の設定

  • ドメインcom.jamf.connect.login
  • 説明

    ローカルおよびネットワーク認証における制限事項を指定します。

設定

説明

ネットワーク認証が必要です

DenyLocal

ユーザがネットワーク認証をバイパスしてローカルアカウントの資格情報を使用することができるかどうかを決定します。

有効 (true に設定) にされると、Local Login (ローカルログイン) ボタンは使用不可となり、ユーザはネットワーク認証を使用してログインする必要があります。

無効 (false に設定) にされると、Local Login (ローカルログイン) ボタンは使用可能となり、ユーザはローカルで認証することを選択できます。

この設定を使用して、FileVault が有効化されたコンピュータ上でのネットワーク認証が起動時にスキップされないようにすることもできます。詳しくは、自動 FileVault ログインを無効にする を参照してください。

<key>DenyLocal</key>
<false/>

ローカル認証特権を持つユーザ

DenyLocalExcluded

DenyLocal 設定が有効 (true に設定) にされている場合、今後もどのユーザがローカルで認証できるかを指定します。

<key>DenyLocalExcluded</key> <array> <string>user-one</string> <string>user-two</string> <string>user-three</string> <string>user-four</string> </array>

ローカルフォールバックを許可

LocalFallback

このキーは IdP への認証を最初に強制するために DenyLocal と共に使用されますが、ネットワーク接続が利用できない場合はローカル認証にその後フォールバックされます。

<key>LocalFallback</key> <false/>

デフォルトでローカル認証を使用

OIDCDefaultLocal

この設定が有効 (true に設定) にされると、Jamf Connect はネットワーク認証ではなくデフォルトでローカル認証を使用します。これにより、ユーザはネットワーク接続なしで常にログインできます。

<key>OIDCDefaultLocal</key> <false/>

アカウントの移行設定

  • ドメインcom.jamf.connect.login
  • 説明

    既存のローカルアカウントとネットワークアカウント間のアカウント接続を設定するために使用します。

設定

説明

既存のローカルアカウントをネットワークアカウントに接続してください

Migrate

既存のローカルアカウントをネットワークアカウントに接続することを許可します。

この設定は通常、ユーザの既存のローカルアカウントにユーザのネットワークアカウントと同じユーザ名とパスワードを設定する場合に使用されます。

有効にされると (true に設定)、ユーザは IdP でログインし、Jamf Connect は一致するローカルアカウントを探します。

注:
  • この設定を使用するには、Require Network Authentication (ネットワーク認証が必要です) (DenyLocal) を true に設定する必要があります。詳しくは、ネットワークおよびローカル認証制限 を参照してください。
  • ネットワーク認証が成功するたびに、そのユーザのレコードは「NetworkSignIn」属性で更新されます。ユーザがローカル認証のみを使用する場合、この属性は更新されません。
<key>Migrate</key>
<false/>

ネットワークアカウント接続が禁止されているローカルアカウント

MigrateUsersHide

移行プロセスから除外されるローカルアカウントのユーザ名のリストを指定します。ログインプロセスの「Connect (接続)」の手順時、これらのアカウントはユーザが利用できなくなります。

<key>MigrateUsersHide</key> <array> <string>admin</string> <string>ladmin</string> </array>

移行時に Create New User (新規ユーザを作成) オプションを非表示にする

CreateNewUserHide

アカウント移行時にユーザに対して Create New User (新規ユーザを作成) オプションを非表示にすることができます。この設定を有効にすると (true に設定)、ユーザは新規アカウントを作成することによりアカウント移行を中断できなくなります。この設定はデフォルトでは有効になっていません (null に設定されています)。

<key>CreateNewUserHide</key> <true/>

アカウントのモバイル化の解除

DemobilizeUsers

既存の Active Directory モバイルアカウントのモバイル化が解除されているかどうかを判断します。モバイル化の解除により、以下の結果が生じます。

  • モバイルアカウントはローカルアカウントになる

  • ネットワーク接続機関として Active Directory が削除される

  • アカウントは MDM 対応のステータスを失う

Jamf は、モバイル化を解除する前に、ユーザレベルの構成プロファイルから移行することを推奨しています。MDM 登録方法の詳細については、Jamf Pro ドキュメントMDM が有効なローカルユーザアカウントを参照してください。

モバイル化を解除したら、Active Directory からコンピューターのバインドを解除できます。モバイル化の解除の手順については、技術記事「Demobilizing and Unbinding Mobile Accounts with Jamf Connect and Jamf Pro (Jamf Connect と Jamf Pro のモバイルアカウントのモバイル化の解除とバインドの解除)」をご参照ください。

重要:

モバイル化の解除の前に Active Directory からバインドを解除した場合、ユーザの Active Directory パスワードと IdP パスワードが一致せず、アカウント作成中に Jamf Connect がパスワードを同期するように構成されていると、モバイル化の解除が失敗する場合があります。Active Directory からのバインドを解除する前にアカウントのモバイル化を解除し、Jamf Connect でのアカウント作成中に Active Directory ドメインに到達できることを確認してください。

<key>DemobilizeUsers</key> <false/>

ログインウィンドウカスタムブランディングの設定

  • ドメインcom.jamf.connect.login
  • 説明

    Jamf Connect ログインウインドウのカスタマイズに使用します。

設定

説明

背景画像

BackgroundImage

ログインウィンドウの背景として使用するローカルに保存された画像へのパスを指定します。この画像ファイルはログインウィンドウから読み取れる場所に保管する必要があります。

この設定に画像ファイルパスが含まれていない場合、デフォルトの背景は macOS の壁紙になります。

<key>BackgroundImage</key>
<string>/usr/local/shared/background.jpg</string>

ログインロゴ

LoginLogo

パスワードの検証中またはローカルパスワードの作成中にロゴとして使用するローカルに保存された画像へのパスを指定します。

注:
  • 250 x 250 のピクセル画像をお勧めします。
  • バックラッシュ「\」をファイルパスに含めないようにしてください。
  • 画像ファイルとそのファイルパスには、ログインウィンドウから読み取れる 444 のような権限セットが割り当てられている必要があります。
<key>LoginLogo</key> <string>/usr/local/images/logo.png</string>

ログインウィンドウのメッセージ

LoginWindowMessage

ログインウィンドウ下部の中央部分に表示されるカスタムメッセージを指定します。

注:

このテキストは 1 行で表示されます。改行はサポートされておらず、メッセージが長すぎると、期待通りに表示されない場合があります。

<key>LoginWindowMessage</key> <string>Log in with your company username and password.</string>

ログインウィンドウのユーザヘルプの設定

  • ドメインcom.jamf.connect.login
  • 説明

    ユーザがヘルプボタンを使用してリソースにアクセスし、ログインウィンドウで Wi-Fi ネットワークに参加して、電源制御ボタンを使用できるようにします。

設定

説明

ネットワーク選択を許可する

AllowNetworkSelection

true に設定されると、ユーザはログインウィンドウからはネットワーク接続の環境設定を構成および確認できます。利用可能なネットワークに参加するには、ログインウィンドウの右上の Wi-Fi アイコンをクリックします。

注:

macOS ではコンピュータのセキュリティを確保するために、一部のネットワーク接続で Captive Network Assistant (キャプティブネットワークアシスタント) アプリケーションの使用を禁止しています。このアプリケーションはログインウィンドウでは使用不可であり、ユーザはログインするまで macOS のキャプティブポータルネットワークに接続できません。

<key>AllowNetworkSelection</key>
<false/>

ヘルプ URL

HelpURL

オンボーディングまたは登録ヘルプのリソースにユーザを誘導する、ログインウィンドウに表示する URL を指定します。

<key>HelpURL</key> <string>yourcompany.help.com</string>

ヘルプファイルをバックアップする

LocalHelpFile

Jamf Connect ログインウィンドウに表示されている Help (ヘルプ) アイコンをクリックしてアクセスできる、ネットワークのトラブルシューティングやオンボーディングガイドなどのローカルファイルへのパスを指定します。

このファイルは、コンピュータがインターネットに接続できない場合、または HelpURL 設定で指定された URL にアクセスできない場合にのみ表示されます。

注:

サポートされているファイルの種類には PDF と HTML があります。

<key>LocalHelpFile</key> <string>/usr/local/shared/JamfConnectHelp.pdf</string>

システム終了ボタンを非表示

OIDCHideShutdown

ログインウィンドウでユーザに対して Shut down (システム終了) ボタンを非表示にします。

<key>OIDCHideShutdown</key> <false/>

再起動ボタンを非表示

OIDCHideRestart

ログインウィンドウでユーザに対して Restart (再起動) ボタンを非表示にします。

<key>OIDCHideRestart</key> <false/>

Azure AD ハイブリッド ID の設定

  • ドメインcom.jamf.connect.login
  • 説明

    Azure AD ハイブリッド ID 環境の認証とパスワード同期の構成に使用します。

設定

説明

アイデンティティプロバイダ (ハイブリッド ID)

ROPGProvider

Jamf Connect がパスワードの同期を試行する場所を特定します。以下の値がサポートされています。

  • Custom
  • Azure_v2
 
<key>ROPGProvider</key>
 <string>Azure_v2</string>

テナント ID (ハイブリッド ID)

ROPGTenant

パスワード検証に使用するオーガニゼーション内のテナント ID を指定します。

<key>ROPGTenant</key>
 <string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>

ディスカバリー URL (ハイブリッド ID)

ROPGDiscoveryURL

OpenID Connect ディスカバリエンドポイントを指定します。AD FS を使用している場合、この値は AD FS ドメインと以下を組み合わせたものです: 「/adfs/.well-known/openid-configuration」

注:

ROPGProvider キーを「カスタム」に設定する場合、このキーが必要になります。

<key>ROPGDiscoveryURL</key> <string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>

 

リダイレクト URI (ハイブリッド ID)

ROPGRedirectURI

AD FS または Azure AD で作成されたアプリケーションにより使用されるリダイレクト URI を指定します。

https://127.0.0.1/jamfconnect」がデフォルトで推奨されますが、Azure AD または AD FS で設定された値が Jamf Connect Login 構成プロファイルの値と一致する限り、任意の有効な URI 値を使用できます。

<key>ROPGRedirectURI</key> <string>https://127.0.0.1/jamfconnect</string>

クライアントシークレット (ハイブリッド ID)

ROPGClientSecret

Jamf Connect アプリケーションのクライアントシークレットを指定します。クライアントシークレットを構成するときは、次のシナリオを考慮してください:

  • ROPG と Azure AD の承認の許可の両方に同じクライアントシークレットを使用している場合は、この設定を行わないでください。Jamf Connect Login は、認証とパスワード検証の両方に OIDCClientSecret 設定で設定されたシークレットを使用します。
  • ROPG 認証にクライアントシークレットを使用していない場合は、この値を NONE (なし) に設定します。
  • 認証プロセスごとに異なるクライアントシークレットを使用する場合は、OIDCClientSecretROPGClientSecret 設定の両方をそれぞれの値に設定します。
<key>ROPGClientSecret</key>
 <string>your-client-secret</string>

ユニバーサルユーザロール設定

  • ドメインcom.jamf.connect.login
  • 説明

    任意のクラウド IdP で利用できるユーザロール設定

設定

説明

管理者ユーザを作成する

CreateAdminUser

すべてのユーザをローカル管理者として作成します。

注:

このキーは、新規ユーザをローカル管理者としてのみ作成し、アカウント作成後にローカルアカウントのステータスを強制しません。ユーザロールが IdP で構成され、Admin Roles (管理者の役割) (OIDCAdmin) 設定で指定される場合、ローカルユーザアカウントは、次回のログイン時に変更される場合があります。

<key>CreateAdminUser</key>
<false/>

OpenID Connect ユーザロール設定

  • ドメインcom.jamf.connect.login
  • 説明

    OpenID Connect 認証から受信した ID トークン属性からユーザロールを設定するために使用されます。

設定

説明

管理者の属性

OIDCAdminAttribute

ユーザに対して標準または管理者のローカルアカウントを作成するかどうかを決定するために、ID トークンに保存されているどの属性を使用するかを指定します。デフォルトでは、Jamf Connectgroups (グループ) 属性を使用して、Admin Roles (管理者の役割) (OIDCAdmin) 設定で指定された値を検索します。

注:
  • Azure AD を使用している場合、この値を roles に設定してください。
  • Google Identity を使用している場合、ID トークンを使用してユーザロールを定義することはできません。
<key>OIDCAdminAttribute</key>
<string>groups</string>

管理者の役割

OIDCAdmin

アカウント作成時に IdP で設定した、どのユーザロール (またはグループ) をローカル管理者にするかを指定します。1 つの役割または複数の役割を文字列の配列として指定することができます。Jamf Connect は、Admin Attribute (管理者の属性) (OIDCAdminAttribute) 設定が構成されていない限り、デフォルトでは、ID トークンの「グループ」属性でこれらの値を検索します。

注:

Google Identity を使用している場合、ID トークンを使用してユーザロールを定義することはできません。

<key>OIDCAdmin</key> <array> <string>role-one</string> <string>role-two</string> <string>role-three</string> <string>role-four</string> </array> 

役割を無視

OIDCIgnoreAdmin

有効 (true に設定) にされると、Jamf Connect Login は IdP に存在するロールをすべて無視します。この設定は、ローカルユーザアカウントが管理者アカウントまたは標準アカウントとして現在のステータスを維持することを保証します。

無効 (false に設定) または未指定の場合、Jamf Connect Login は構成されたロールの OIDCAdmin 設定を読み込み、IdP のロールに基づいてローカルユーザアカウントのステータスを変更します。

<key>OIDCIgnoreAdmin</key> <false/>

Okta ユーザロール設定

  • ドメイン

    com.jamf.connect.login

  • 説明

    (Okta専用) 新規のローカルアカウントのユーザロールを設定するために使用します。

設定

説明

アクセスクライアント ID

OIDCAccessClientID

アカウントの作成やコンピュータへのログインを許可されているユーザが使用する OIDC (OpenID Connect) アプリケーションを指定します。

注:

管理者を含むすべてのユーザを Okta 管理者コンソールのこの app に追加し、Jamf Connect Login へのアクセスを確保する必要があります。

<key>OIDCAccessClientID</key>
<string>0oad0gmia54gn3y8923h1</string>

 

管理クライアント ID

OIDCAdminClientID

アカウント作成時にローカル管理者として作成されたユーザが使用する OIDC (OpenID Connect) アプリケーションを指定します。

注:

管理者のみを Okta 管理者コンソールのこの app に追加する必要があります。

<key>OIDCAdminClientID</key> <string>0oa0gwese54gn3y9O0h4</string>

 

セカンダリログインクライアント ID

OIDCSecondaryLoginClientID

最初のアカウントが作成された後、コンピュータ上で追加のユーザを作成することを許可されているユーザが使用する OIDC (OpenID Connect) アプリケーションを指定します。

<key>OIDCSecondaryLoginClientID</key> <string>0oa0grdsrhdsre54gn3y9O0h4</string>

リダイレクト URI

OIDCRedirectURI

Okta で Jamf Connect App により使用されるリダイレクト URI を指定します。

「https://127.0.0.1/jamfconnect」がデフォルトで推奨されますが、Okta の構成値が Jamf Connect Login 構成プロファイルの値と一致する限り、URI の値を使用することができます。

<key>OIDCRedirectURI</key> <string>https://127.0.0.1/jamfconnect</string>

Okta 多要素認証の設定

  • ドメイン

    com.jamf.connect.login

  • 説明

    (Okta のみ) MFA オプションとテキストのカスタマイズに使用します。

設定

説明

ワンタイムパスワードメッセージ

MessageOTPEntry

(Okta のみ) ユーザがワンタイムパスワード (OTP) をマルチファクタ認証 (MFA) 方式として入力する必要があるときに表示されるテキストを指定します。

<key>MessageOTPEntry</key>
<string>Enter your verification code.</string>

MFA オプションの名称

MFARename

(Okta のみ) オーガニゼーションの Okta 認証で使用される各 MFA オプションのカスタム名を指定します。Jamf Connect と Okta を使用して構成可能な MFA オプションのタイトルについての詳細は、多要素認証 を参照してください。
<key>MFARename</key> 
 <dict>
 <key>push</key> 
<string>Okta Verify app: PushNotification</string> 
<key>question</key>
 <string>Okta Security Questions</string>
 <key>web</key>
 <string>Duo Mobile app</string>
 <key>sms</key>
 <string>Okta SMS: Verification Code</string>
 <key>google:token:software:totp</key> 
 <string>Google Authenticator app: Verification Code</string>
 <key>okta:token:software:totp</key>
 <string>Okta Verify app: Verification Code</string>
 <key>token:hardware</key> 
 <string>USB Security Key</string>
 </dict>

MFA オプションを非表示にする

MFAExcluded

(Okta のみ) ユーザに表示しない MFA オプションのリストを指定します。
<key>MFAExcluded</key>
 <array>
 <string>push</string>
 <string>question</string>
 <string>okta:token:software:totp</string> <string>google:token:software:totp</string> <string>token:hardware</string>
 <string>webauthn</string> <string>web</string> </array>

高度なログイン設定

  • ドメインcom.jamf.connect.login
  • 説明

    高度な認証設定を構成し、ID トークンでカスタムクレームを使用するために使用されます。

設定

説明

カスタム Okta 認証サーバ

OIDCAuthServer

(Okta のみ) Okta テナントのカスタム認証サーバを指定します。これは、ローカルアカウントの作成中にユーザの ID トークン (OIDCIDTokenPath 設定を介して保存されます) でカスタムスコープとクレームを送信するために使用できます。

この値を設定するには、カスタム認証サーバ IDを使用します。カスタム認証サーバの発行者 URI の末尾の文字列が、同 ID に該当します。以下の発行者 URI の abc9o8wzkhckw9TLa0h7z が認証サーバ ID です。

例: https://your-custom-auth-server.okta.com/oauth2/abc8o8wzjhckw
この設定を使用するには、Okta app 統合を作成し、(OIDCAccessClientID) 設定用のユーザ役割を定義する必要があります。
注:

この設定は、Okta テナントに OpenID Connect App および ID トークン属性を管理する個別の認証サーバが存在する場合に限り、使用するものとします。この設定を、Auth Server (認証サーバ) (AuthServer) 設定で使用される主要なテナントと同一の値で構成すると、Okta による認証において予期せぬエラーが発生する場合があります。

<key>OIDCAuthServer</key>
<string>abc8o8wzjhckw9TLa0t8q</string>

カスタムの認証サーバの作成方法の詳細については、Okta の開発者向けウェブサイトのドキュメント Okta Authorization Server (Okta 認証サーバ) をご参照ください。

クッキーを無視してください

OIDCIgnoreCookies

Loginwindow アプリケーションに保存されているクッキーを無視します

<key>OIDCIgnoreCookies</key> <false/>

OpenID 接続 (Connect) Scope

OIDCScopes

カスタム Scope を指定します。これは、認証中にユーザの ID トークンで追加のクレームを返します。標準の Scope には openidprofileoffline_access が含まれます。複数の Scope を含める場合、「+」を追加してそれらを区切ります。

<key>OIDCScopes</key> <string>openid+profile</string>

氏名

OIDCFullName

firstNamelastName、または環境に固有の他のカスタム値など、氏名/フルネームに単一の異なるクレームを指定します。この設定は、アカウントの氏名/フルネームを設定するために使用されるデフォルトの属性を上書きします: namefamily_name/given_namefirst/last

<key>OIDCFullName</key> <string>firstName+lastName</string>

省略名

OIDCShortName

ユーザの ID トークンのどのクレームをローカル macOS アカウント名 (省略名) として使用するかを指定します。ユーザのネットワーク固有名 (UPN プレフィックス) が、エイリアスとしてユーザのローカルアカウントに追加されます。

注:

使用するクレームがスタンダード ID トークンにはない場合、OIDCScopes 環境設定キーのある追加のクレームを指定することにより、追加のクレームを ID トークンで受け取ることができます。

<key>OIDCShortName</key> <string>given_name</string>

ROPG の短い名前

OIDCROPGShortName

ID トークンのどのクレームを ROPG 認証中 (パスワードの検証中) にユーザ名として使用するかを指定します。

注:

使用するクレームがスタンダード ID トークンにはない場合、OIDCScopes 環境設定キーのある追加のクレームを指定することにより、追加のクレームを ID トークンで受け取ることができます。

この設定は、ROPG ワークフロー中に Jamf Connect がユーザ名 (unique_namepreferred_usernameemailsub など) を定義するために使用されるクレームを IdP が考慮しない複雑な IdP 環境でのみ使用されます。

<key>OIDCROPGShortName</key> <string>given_name</string> 

フォーマット済みの ID トークンパス

OIDCIDTokenPath

ユーザのフォーマット済み ID トークンを保存するために使用できるファイルパスを指定します。

注:

この設定では、RunScript メカニズムが有効になっている必要があります。詳しくは、ログインスクリプトの追加 を参照してください。

<key>OIDCIDTokenPath</key> <string>/tmp/token</string>

未フォーマットの ID トークンパス

OIDCIDTokenPathRaw

ユーザの未フォーマット ID トークンを保存するために使用できるファイルパスを指定します。

注:

この設定では、RunScript メカニズムが有効になっている必要があります。詳しくは、ログインスクリプトの追加 を参照してください。

<key>OIDCIDTokenPathRaw</key> <string>/tmp/token-raw</string>

UseUserInfo

(PingFederate のみ) 有効にされると (true に設定)、この設定により、Jamf Connect は PingFederate ユーザトークンから追加のクレームを要求できます。この設定は、PingFederate から社内管理参照トークンを発行している場合だけ使用できます。

PingFederate 管理の詳細については、OAuth Configuration (認証設定) セクションの PingFederate Administrator's Manual (PingFederate 管理者マニュアル) を参照してください。

<key>UseUserInfo</key> <false/>

FileVault 設定

  • ドメイン

    com.jamf.connect.login

  • 説明

    FileVault を Jamf Connect で有効にする方法を構成するのに使用します。

設定

説明

FileVault を有効にする

EnableFDE

有効にされると (true に設定)、コンピュータにログインする最初のユーザに対して FileVault が有効になります。

<key>EnableFDE</key>
<false/>

FileVault リカバリキーを保存する

EnableFDERecoveryKey

有効にされると (true に設定)、Jamf Connect は、特に指定がない限り、個人用リカバリキー (PRK) を /var/db/NoMADFDE に保存します。

<key>EnableFDERecoveryKey</key> <false/>

リカバリキーのファイルパスを設定する

EnableFDERecoveryKeyPath

デフォルトで /var/db/NoMADFDE を使用するのではなく、PRK のカスタムファイルパスを指定します。

<key>EnableFDERecoveryKeyPath</key> <string>/usr/local/filevault</string>

LAPS ユーザ

LAPSUser

Jamf Connect が個人用リカバリキーに対してパスワードを変更できる既存のローカル管理者アカウント。

この設定は、macOS 10.15.x の標準アカウントで FileVault を有効にするために、Jamf Connect によってのみ使用されます。この設定は、macOS 11.0.1 以降が搭載されたコンピュータには使用できません。

<key>LAPSUser</key> <string>AdminUser</string>

利用規約の設定

  • ドメイン

    com.jamf.connect.login

  • 説明

    Jamf Connect のログインウィンドウで、ユーザに表示する利用規約を構成するために使用します。

設定

説明

利用規約の web アドレスまたはファイルパス

EULAFilePath

ユーザがログインする前に同意する必要のある利用規約文書を含む web アドレスまたはファイルパスを指定します。

サポートされているフォーマット: URL の web アドレス、またはローカルに保存された PDF、TXT、RTF もしくは RTFD ファイルのパス。

<key>EULAFilePath</key>
<string>/usr/local/shared/AcceptableUsePolicyFile.txt</string>

監査ファイルのパス

EULAPath

利用規約に対するユーザの承諾記録が格納されているディレクトリのファイルパスを指定します。

このファイルパスには、_SecurityAgent の書き込みアクセスを許可する権限が必要です。/Users/Shared/ が推奨されます。

<key>EULAPath</key> <string>/usr/local/shared/AcceptableUsePolicy.txt</string>

利用規約のテキスト

EULAText

利用規約の本文を指定します。
注:

本文の書式を設定するには、この文字列の値に *** を入力して改行します。

<key>EULAText</key> <string>Example body text.***New line of example body text.</string>

利用規約のタイトル

EULATitle

利用規約のタイトルを指定します。

<key>EULATitle</key> <string>Terms & Conditions</string>

利用規約のサブタイトル

EULASubTitle

利用規約のサブタイトルを指定します。

<key>EULASubTitle</key <string>Accept these terms and conditions to start using your Mac.</string>

ログインスクリプトの設定

  • ドメインcom.jamf.connect.login
  • 説明

    ログインプロセス中にスクリプトを実行するために使用されます。

    注:

    スクリプトの環境設定を構成する前に RunScript メカニズムを有効にする必要があります。

設定

説明

スクリプト引数

ScriptArgs

RunScript メカニズムによって実行される、指定されたスクリプトで使用される引数を指定します。

注:

ScriptPath キーの指定は必須です。

<key>ScriptArgs</key>
<array>
<string>-v</string>
<string>-user</string>
</array>

スクリプトパス

ScriptPath

RunScript メカニズムによって実行されるスクリプトまたはその他の実行可能ファイルへのパスを指定します。Jamf Connect Login ではいかなるときも 1 つのスクリプトしか使用できません。

<key>ScriptPath</key> <string>/usr/local/bin/loginScript</string>

通知画面でのステータスのアップデート時に Jamf Pro のポリシーログを表示します。

NotifyLogStyle

Jamf Connect の通知画面が構成されると、自動デバイス登録 (旧称 DEP) の実行中にユーザのステータスがアップデートされる際に Jamf Pro のポリシーログが表示されます。

この設定を有効化するには、この値を jamf に設定します。

<key>NotifyLogStyle</key> <string>jamf</string>

カスタム UID ツールを使用する

UIDTool

アカウント作成の際に、ローカルユーザアカウントの UID をカスタム値に設定できる UID ツールへのパスを指定します。これは、ローカルユーザアカウントの UID をユーザの LDAP UID 属性と一致させるのに使用することができます。UID ツールは、実行可能なスクリプトである必要があります。

UID ツールは、アカウント省略名を受け入れ、ユーザアカウントに必要な UID で応答する必要があります。

<key>UIDTool</key> <string>/Users/Shared/UIDTool</string>

Pluggable Authentication Module (PAM) 設定

  • ドメインcom.jamf.connect.login
  • 説明

    コンピュータで PAM 認証を有効にするのに使用します。

設定

説明

アイデンティティプロバイダ (PAM)

AuthUIOIDCProvider

PAM で認証に使用するアイデンティティプロバイダを指定します。

<key>AuthUIOIDCProvider</key>
<string>insert-identity-provider</string>

クライアント ID (PAM)

AuthUIOIDCClientID

PAM で認証に使用されるアイデンティティプロバイダの作成済み Jamf Connect App のクライアント ID を指定します。

<key>AuthUIOIDCClientID</key> <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

リダイレクト URI (PAM)

AuthUIOIDCRedirectURI

IdP で作成済み Jamf Connect App により使用されるリダイレクト URI を指定します。

<key>AuthUIOIDCRedirectURI</key> <string>https://127.0.0.1/jamfconnect</string>

リダイレクト URI (PAM)

AuthUIOIDCTenant

PAM で認証に使用される IdP のテナントを指定します。

注:

Okta が IdP の場合、このキーは必須です。

<key>AuthUIOIDCTenant</key> <string>dev-123456</string>

クライアントシークレット (PAM)

AuthUIOIDCClientSecret

IdP の Jamf Connect App のクライアントシークレットを指定します。この値は Jamf Connect と IdP によってのみ既知です。

<key>AuthUIOIDCClientSecret</key> <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>