セキュリティ

ユーザが Jamf Connect にログインする際、パスワードは安全なテキストフィールドに入力され、macOS キーチェーンの外にあるディスクには決して書き込まれません。

Kerberos が使用される場合、パスワードは gss_aapl_initial_cred() API の呼び出しで使用されます。これはユーザを認証し、チケット保証チケット(TGT) を取得します。パスワードの変更時には、gss_aapl_change_password() API 呼び出しを使用して、同じプロセスが行われます。両方の API 呼び出しが、Heimdal Kerberos の Apple の実装を利用しています。

アイデンティティプロバイダ (IdP) として Okta と統合されるとき、Jamf Connect は Okta 認証 API を使用します。Okta 認証 API の詳細情報については、Okta の開発者向けドキュメントの Authentication API をご参照ください。

他の IdP プロバイダに統合されるとき、Jamf Connect は OpenID Connect 認証プロトコルを使用して IdP と通信を行います。

ログインウィンドウでパススルー認証が有効になっている場合、ログインウィンドウの Web ビューに入力されたユーザパスワードは一時的にメモリに書き込まれ、ログインの際、またはコンピュータでのローカルアカウントの作成の際に使用されます。Jamf Connect がユーザのパスワードを使用して終了すると、この値はすぐに nil として上書きされ、メモリから割り当て解除されます。

OpenID Connect の詳細については、OpenID Foundation からの次の FAQ 資料を参照してください。

指示があった場合、Jamf Connect は、SecKeychainAddGenericPassword() および他の SecKeychain のAPI 呼び出しを使用して、ユーザのパスワードをローカルキーチェーンに保存します。パスワードはユーザのデフォルトキーチェーンに保存されます。

パスワードがユーザのキーチェーンに保存され、Keroberos が有効な場合、Jamf Connect は起動時にそのパスワードを使用します。パスワードがユーザを認証できない場合、Jamf Connect はそのパスワードをキーチェーンから削除し、ロックアウトを防止します。有効なパスワードを再度入力するようにユーザが促されます。

Jamf Connect は Active Directory でセキュリティ設定を変更することを求めません。Jamf Connect は、Active Directory とのインタラクションを行う際に、SASL 認証バインドを使用するだけです。デフォルトで、Jamf Connect はユーザの Kerberos チケットを使用して、LDAP トラフィックを Active Directory で暗号化します。Active Directory への LDAP 接続に加えて SSL を使用するように、Jamf Connect を構成できます。

Jamf Connect はユーザの秘密情報をいかなるサービスにも送信しません。証明書署名要求 (CSR) を生成する秘密鍵がキーチェーンを離れることはありません。プロセスは Jamf Connect 内のみで完了されます。その際 Apple が提供する SecKeychain および SecCertificate の API 呼び出しが使用されます。

CSR を Windows 認証局 (CA) に送信する際に、Kerberos 認証が使用され、CSR は SSL により送信されます。結果として、Kerberos と SSL を使用して、署名付き公開鍵が取得され、キーチェーンで秘密鍵とマッチングされます。

Jamf Connect は受信接続を検索しません。Jamf Connect からのすべての通信は発信で、最高の可用性レベルのトランスポートセキュリティを使用しています。

以下のことに配慮してください。

• Jamf Connect はユーザ空間で実行され、root としては実行されません。したがって、現在ログインされているユーザの権限以外には権限がありません。

• Jamf Connect's の機能は、ローカル管理者や標準的な macOS ユーザのものと同じです。