認証設定

コンピュータの構成プロファイルを介して認証設定の構成と展開をする必要があります。これらの設定により、Jamf Connect によるログインウィンドウとメニューバー App での認証が可能となります。また、Mac のローカルユーザアカウントとクラウドアイデンティティプロバイダ (IdP) 間の接続を確立します。

Jamf Connect を使用して認証設定を構成する際は以下の点に注意してください:

  • Jamf Connect メニューバー App の認証設定は、IdPSettings ディクショナリクラスに含まれています。

  • ご利用の環境でメニューバーとログインウィンドウの両方を使用する場合は、Jamf Connect を構成してネットワークアカウントを使って初期パスワードを作成することを推奨します。これにより、アカウントの作成にパスワードの変更を求められなくなります。詳しくは、初期ローカルパスワード作成 を参照してください。

  • クラウド IdP や環境によって認証設定の最小要件は異なります。

アイデンティティプロバイダによる最小限の認証設定

Jamf Connect を使用するために必要な最低限の認証設定を、対応する各アイデンティティプロバイダ別に示します。

アイデンティティプロバイダ

ログインウィンドウ

メニューバー App

Azure AD

  • アイデンティティプロバイダ
  • クライアント ID
  • アイデンティティプロバイダ
  • クライアント ID

Google Cloud ID

  • アイデンティティプロバイダ
  • クライアント ID
  • クライアントシークレット

サポートされていません

IBM Security Verify

  • アイデンティティプロバイダ
  • クライアント ID
  • テナント ID
  • アイデンティティプロバイダ
  • クライアント ID
  • テナント ID

Okta

  • アイデンティティプロバイダ
  • 認証サーバ
  • アイデンティティプロバイダ
  • 認証サーバ

OneLogin

  • アイデンティティプロバイダ
  • クライアント ID
  • テナント ID
  • 成功コード (MFA が有効化されている場合)
  • アイデンティティプロバイダ
  • クライアント ID
  • テナント ID
  • 成功コード (MFA が有効化されている場合)

PingFederate

  • アイデンティティプロバイダ
  • クライアント ID
  • ディスカバリー URL
  • アイデンティティプロバイダ
  • クライアント ID
  • ディスカバリー URL

カスタム

  • アイデンティティプロバイダ
  • クライアント ID
  • リダイレクト URI
  • ディスカバリー URL
  • アイデンティティプロバイダ
  • クライアント ID
  • ディスカバリー URL

OpenID Connect 認証のためのディスカバリー URL エンドポイント

Jamf Connect は、OpenID Connect 認証プロセスにおいて、お使いのクラウドアイデンティティプロバイダ (IdP) のディスカバリーエンドポイントを使用します。お使いの IdP および構成プロファイルの設定に応じて、Jamf Connect はディスカバリー URL エンドポイント値を見つけるために以下のシーケンスを使用します。
  1. Jamf Connect 構成プロファイルの Discovery URL (ディスカバリー URL) 値。構成すると、この値は、Jamf Connect's が事前に構成した IdP 用のディスカバリー URL の値を上書きします。このオプションは、PingFederate およびカスタム IdP オプションに対して必要です。

  2. Jamf Connect 構成プロファイルで Tenant ID (テナント ID) の値を使用してディスカバリー URL を自動的に構築します。このオプションは、IBM Security Verify および OneLogin に対して必要です。

  3. Jamf Connect で事前に構成されたデフォルトのディスカバリー URL を自動的に使用します。このオプションは、Azure AD および Google Cloud ID によって使用されます。

Jamf Connect での認証において無効なディスカバリー URL を使用しないようにするために、以下を確認する必要があります。
  • PingFederate 以外のアイデンティティプロバイダまたはカスタムオプションを使用している場合、ディスカバリー URL キー値のペアが構成されていないこと、または IdP により文書化されたディスカバリーエンドポイントと一致していることを確認してください。

  • ADFS ハイブリッドアイデンティティ環境で Azure AD とともに Jamf Connect を使用する場合、Discovery URL (ディスカバリー URL) (OIDCDiscoveryURL) が構成されていないことに加えて、Discovery URL (Hybrid ID) (ディスカバリー URL (ハイブリッド ID)) (ROPGDiscoveryURL) に ADFS ディスカバリーエンドポイントが使用されていることを確認してください。

アイデンティティプロバイダのディスカバリーエンドポイント

次の表は、Jamf Connect で認証を行うために、お使いの環境のコンピュータでセーフリストに登録する必要のある URL の一覧です。
Azure AD (Microsoft アイデンティティプラットフォーム)
https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration
注:

Tenant ID (テナント ID) を構成している場合、上記の URL の「common (共通)」を OIDCTenant 値に置き換えます。

Azure AD
https://login.microsoftonline.com/common/.well-known/openid-configuration
注:

Tenant ID (テナント ID) を構成している場合、上記の URL の「common (共通)」を OIDCTenant 値に置き換えます。

Google Cloud ID

https://accounts.google.com/.well-known/openid-configuration

IBM Security Verify

https://yourtenant.ice.ibmcloud.com/oidc/endpoint/default/.well-known/openid-configuration

Okta (OpenID Connect 認証)

https://yourtenant.okta.com/.well-known/openid-configuration

OneLogin

https://yourtenant.onelogin.com/oidc/2/.well-known/openid-configuration