セキュリティ

パスワードと証明書の管理は Jamf Connect's の機能の鍵を握っています。Jamf ConnectJamf Connect's は標準ベースの技術を使用して、Active Directory または Single Sign-On (SSO) に接続します。これらのインタラクションは、Kerberos、LDAP、ならびにご利用のアイデンティティプロバイダ (IdP) との安全な URL セッション接続により完了します。Jamf Connect は macOS に含まれるこれらのツールのバージョンを使用します。

これらのインタラクションをよりよく理解し、情報の安全性を確保するには、Jamf Connect のすべてのセキュリティ対策を確認してください。

免責事項

Jamf Connect Login を利用すると、同じユーザ名とパスワードのユーザが不適切なローカルアカウントにログインしてしまうことがあります。ユーザが自分のアカウントだけにログインできるようにするには、多要素認証 (MFA) の方法を利用することが推奨されます。Jamf は、同一にプロビジョンされたアカウント認証情報による損害やセキュリティエクスプロイトに対して責任や義務を負うことはありません。

パスワード

ユーザが Jamf Connect にログインする際、パスワードは安全なテキストフィールドに入力され、macOS キーチェーンの外にあるディスクには決して書き込まれません。

Kerberos が使用される場合、パスワードは gss_aapl_initial_cred() API の呼び出しで使用されます。これはユーザを認証し、チケット保証チケット(TGT) を取得します。パスワードの変更時には、gss_aapl_change_password() API 呼び出しを使用して、同じプロセスが行われます。両方の API 呼び出しが、Heimdal Kerberos の Apple の実装を利用しています。

注:

すべての Kerberos アクションは Apple の API により実行されます。パスワードは「kinit」や他の Kerberos コマンドラインインターフェース (CLI) ツールによりキャッシュされることは決してありません。

IdP として Okta と統合されるとき、Jamf Connect は Okta 認証 API を使用します。

Azure AD など他の IdP プロバイダに統合されるとき、Jamf Connect は OpenID Connect (OIDC) プロトコルを使用して IdP と通信を行います。

注:

すべてのネットワーク接続は macOS の URL ロード API である URLSession を使用して行われます。破損していないことを保証するために、すべての通信は TLS によりセキュリティが確保されます。

Jamf Connect がパスワードにより完了すると、値は上書きされ、割り当てが解除されます。

OpenID Connect の詳細については、OpenID Foundation からの次の FAQ 資料を参照してください。

Okta 認証 API の詳細情報については、Okta の開発者向けドキュメントの Authentication API をご参照ください。

キーチェーンの使用

指示があった場合、Jamf Connect は、SecKeychainAddGenericPassword() および他の SecKeychain のAPI 呼び出しを使用して、ユーザのパスワードをローカルキーチェーンに保存します。パスワードはユーザのデフォルトキーチェーンに保存されます。

パスワードがユーザのキーチェーンに保存され、Keroberos が有効な場合、Jamf Connect は起動時にそのパスワードを使用します。パスワードがユーザを認証できない場合、Jamf Connect はそのパスワードをキーチェーンから削除し、ロックアウトを防止します。有効なパスワードを再度入力するようにユーザが促されます。

Active Directory セキュリティ

Jamf Connect は Active Directory でセキュリティ設定を変更することを求めません。Jamf Connect は、Active Directory とのインタラクションを行う際に、SASL 認証バインドを使用するだけです。デフォルトで、Jamf Connect はユーザの Kerberos チケットを使用して、LDAP トラフィックを Active Directory で暗号化します。Active Directory への LDAP 接続に加えて SSL を使用するように、Jamf Connect を構成できます。

証明書

Jamf Connect はユーザの秘密情報をいかなるサービスにも送信しません。証明書署名要求 (CSR) を生成する秘密鍵がキーチェーンを離れることはありません。プロセスは Jamf Connect 内のみで完了されます。その際 Apple が提供する SecKeychain および SecCertificate の API 呼び出しが使用されます。

注:

秘密鍵はデフォルトではエクスポート不可能とマークされますが、環境設定キーを使用して、この設定を変更できます。

CSR を Windows 認証局 (CA) に送信する際に、Kerberos 認証が使用され、CSR は SSL により送信されます。結果として、Kerberos と SSL を使用して、署名付き公開鍵が取得され、キーチェーンで秘密鍵とマッチングされます。

ネットワーク接続

Jamf Connect は受信接続を検索しません。Jamf Connect からのすべての通信は発信で、最高の可用性レベルのトランスポートセキュリティを使用しています。

ユーザ空間

以下のことに配慮してください。

  • Jamf Connect はユーザ空間で実行され、root としては実行されません。したがって、現在ログインされているユーザの権限以外には権限がありません。

  • Jamf Connect's の機能は、ローカル管理者や標準的な macOS ユーザのものと同じです。