フェデレーション統合

フェデレーション統合とは、ご利用のクラウドアイデンティティプロバイダ (IdP) が、オンプレミスの Active Directory Federate Services (ADFS) などの別の認証方法に認証を渡すことが可能となるハイブリッドアイデンティティソリューションです。

ADFS を使用したフェデレーション統合をご利用の環境に実装すると、Jamf Connect を認証とパスワードの同期にクラウドとオンプレミスの異なるエンドポイントを使用するように構成して、Jamf Connect がご利用のフェデレーション統合と連携して動作するように構成することができます。

  • Azure AD

    Azure AD に登録済みの App とエンドポイントを使用して、Azure AD からアクセス、更新、および ID トークンを取得する認証コードの付与を実行します。

  • ADFS

    ADFS App とエンドポイントを使用して、ユーザのローカルユーザ名とパスワードがオンプレミスの Active Directory と同期されていることを確認するリソース所有者パスワード許可 (ROPG) を実行します

    Azure AD でのフェデレーション統合についてさらに確認するには、Microsoft のドキュメントの Azure AD Connect とフェデレーションをご参照ください。

次の図は、Jamf Connect が両方のエンドポイントを使用してローカルアカウントを作成し、パスワードを同期する方法を示しています。

ADFS を使用した Jamf Connect の構成

要件
  1. ご利用の Azure AD と ADFS 環境が正常に構成されていることと、OpenID Connect 認証プロトコル向けに構成されていることを確認します。
  2. 以下の環境設定キーをご利用のログインウィンドウ構成プロファイルに追加します。

    キー

    説明

    OIDCProvider

    Identity Provider (アイデンティティプロバイダ)

    認証に使用するクラウド IdP として Azure AD を指定します。

    <key>OIDCProvider</key>
    <string>Azure</string>

    OIDCClientID

    Client ID (クライアント ID)

    ユーザを認証するために使用される IdP で登録された app のクライアント ID。

    <key>OIDCClientID</key>
    <string>8zcc52c7-ee36-4889-8517-lkjslkjoe23</string>

    OIDCNewPassword

    Create a Separate Local Password (別のローカルパスワードを作成してください)

    ユーザにネットワークパスワードの再入力を促します。これはローカルアカウントのパスワードにもなります。これにより、ユーザのネットワークとローカルのパスワードがユーザ作成時に必ず同期されます。

    <key>OIDCNewPassword</key>
    <false/>

    ROPGProvider

    Identity Provider (Hybrid ID) (アイデンティティプロバイダ (ハイブリッド ID))

    Jamf Connect がパスワードの同期を試行する場所を特定します。この値を「Custom」に設定すると、Jamf Connect が ADFS を使用します。

    <key>ROPGProvider</key>
    <string>カスタム</string>

    OIDCROPGID

    Client ID (Password Verification) (クライアント ID (パスワード検証))

    ご利用の Jamf Connect ADFS アプリケーションのクライアント ID。

    <key>OIDCROPGID</key>
    <string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>

    ROPGRedirectURI

    Redirect URI (Hybrid ID) (リダイレクト URI (ハイブリッド ID))

    ADFS で作成されたアプリケーションにより使用されるリダイレクト URI。

    <key>ROPGRedirectURI</key>
    <string>https://127.0.0.1/jamfconnect</string>

    ROPGDiscoveryURL

    Discovery URL (Hybrid ID) (ディスカバリー URL (ハイブリッド ID))

    OpenID Connect ディスカバリエンドポイントを指定します。この値には、ADFS ドメインと次の組み合わせが含まれます: 「/adfs/.well-known/openid-configuration」

    <key>ROPGDiscoveryURL</key>
    <string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>
  3. 以下の IdPSettings 環境設定キーをご利用のログインウィンドウ構成プロファイルに追加します:

    キー

    説明

    Provider

    Identity Provider (アイデンティティプロバイダ)

    Jamf Connect がパスワードの同期を試行する場所を特定します。この値を「Custom」に設定すると、Jamf Connect が ADFS を使用します。

    <key>Provider</key>
    <string>カスタム</key>

    DiscoveryURL

    Discovery URL (ディスカバリー URL)

    OpenID Connect ディスカバリエンドポイントを指定します。この値には、ADFS ドメインと次の組み合わせが含まれます: 「/adfs/.well-known/openid-configuration」

    <key>DiscoveryURL</key>
<string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>

    ROPGID

    Client ID (クライアント ID)

    ご利用の Jamf Connect ADFS アプリケーションのクライアント ID。

    <key>ROPGID</key>
<string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>
  4. Jamf Connect Configuration またはテストコンピュータを使用して、構成プロファイルをテストし、認証が正しく構成されていることを確認します。
  5. 構成プロファイルを保存します。

以上で、MDM ソリューションを使用して構成プロファイルを展開することができます。