Okta との統合

Jamf Connect では、Okta の認証 API を使って Okta ユーザをドメインに直接認証するため、Okta の認証コンソールで認証とパスワードの同期を有効化するタスクを実行する必要はありません。OpenID Connect app 統合には、以下の内容のみが必要です。

  • 役割の割り当ての構成

    Jamf Connect でユーザが標準アカウントで作成されたものか、ローカルアカウントで作成されたものかを判断したい場合は、Okta で標準ユーザと管理者用の App の統合を作成し、必要に応じて App にユーザを割り当てることができます。これにより、Jamf Connect はユーザに割り当てられた App を使用して、正しいローカルアカウントを作成します。

  • Jamf Unlock の展開Jamf Unlock app は、ペアリングのプロセスにおいてユーザを認証する際に、OpenID Connect 認証プロトコルのみを使用します。

Jamf Connect でユーザが標準アカウントで作成されたものか、ローカルアカウントで作成されたものかを判断したい場合は、Okta で標準ユーザと管理者用の App の統合を作成し、必要に応じて App にユーザを割り当てることができます。これにより、Jamf Connect はユーザに割り当てられた App を使用して、正しいローカルアカウントを作成します。

  1. Okta Admin Console にログインします。
    注:

    Okta コンソールがクラシック UI バージョンで表示されるようにしてください。

  2. Applications (アプリケーション) をクリックします。
  3. Add Application (アプリケーションの追加) をクリックし、続いて Create New App (新しい App の作成) をクリックします。
  4. Create a New Application Integration (新しいアプリケーションの統合を作成) ウィンドウで以下のことを実行してください。
    1. Action (アクション) ポップアップメニューから Native App (ネイティブ App) を選択します。
    2. Connect (接続) を選択します。
    3. Create (作成) をクリックします。
  5. (オプション) Create OpenID Connect Integration (OpenID 接続の統合を作成) ページで以下のことを実行してください。
    1. Application name (アプリケーション名) フィールドに Jamf Connect など、ご利用の app の名前を入力してください。
    2. アプリケーションロゴをアップロードします。
    3. 役割の割り当て用の app を構成するか、Jamf Unlock の有効な URI を構成するかに応じて、Login redirect URIs (ログインリダイレクト URI) フィールドに、以下のいずれか (https://127.0.0.1/jamfconnect など) を入力します。
      • 役割の割り当て (macOS)https://127.0.0.1/jamfconnect
      • Jamf Unlock 認証 (iOS)jamfunlock://callback/auth
    4. Save (保存)をクリックします。
これにより、app 統合を Jamf Connect でのユーザ役割の作成や Jamf Unlock app での認証に使用できるようになります。
Jamf Connect でユーザがローカル管理者で作成されたものか、標準アカウントで作成されたものかを判断したい場合は、このプロセスを繰り返して、管理者と標準ユーザをそれぞれの app 統合に割り当てます。
注: 両方の app 統合に管理者を割り当てる必要があります。
以下の値を必ずコピーして、Jamf Connect ログインウィンドウの構成プロファイルに使用してください。
  • 各 app 統合のクライアント ID。これらの値を使用して、該当の Access Client ID (アクセスクライアント ID)Admin Client ID (管理クライアント ID)、および Secondary Login Client ID (セカンダリログインクライアント ID) 設定を構成します。

  • リダイレクト URI。この値を使用して Redirect URI (リダイレクト URI) 設定を構成します。

許可の種類を変更

Okta で作成する Jamf Connect app 統合ごとに、可能な許可のタイプを変更する必要があります。

  1. 新しく作成した Jamf Connect app を選択します。
  2. General (一般) 領域で以下を行います。
    1. Allowed Grant Type (可能な許可の種類) で Implicit (Hybrid) (暗黙的 (ハイブリッド)) を選択します。
    2. Allow ID Token with implicit grant type (暗黙的な許可の種類で ID トークンを許可) および Allow Access Token with implicit grant type (暗黙的な許可の種類でアクセストークンを許可) を選択します。
    3. Save (保存)をクリックします。

Jamf Connect の app 統合において、このプロセスを繰り返します。

多要素認証の有効化

マルチファクタ認証 (MFA) をユーザに対して有効にする場合は、App レベルではなくオーガニゼーションレベルで MFA を有効にする必要があります。MFA を有効にするには、Okta Admin Dashboard で Security (セキュリティ) > Authentication (認証) > Sign On (サインオン) に移動してから、新しいサインオンポリシーを作成します。

免責事項

Jamf Connect Login を利用すると、同じユーザ名とパスワードのユーザが不適切なローカルアカウントにログインしてしまうことがあります。ユーザが自分のアカウントだけにログインできるようにするには、多要素認証 (MFA) の方法を利用することが推奨されます。Jamf は、同一にプロビジョンされたアカウント認証情報による損害やセキュリティエクスプロイトに対して責任や義務を負うことはありません。

注:

App レベルで MFA を有効にすることは推奨されず、Jamf Connect でエラーが発生することがあります。