Okta との統合

Jamf Connect では、Okta の認証 API を使って Okta ユーザをドメインに直接認証するため、Okta の認証コンソールで認証とパスワードの同期を有効化するタスクを実行する必要はありません。OpenID Connect app 統合には、以下の内容のみが必要です。

  • ローカル役割の割り当ての構成

    Okta で標準ユーザと管理者用に異なる App 統合を作成することで、ユーザが Jamf Connect の標準のローカルアカウントで作成されるのか、管理者用のローカルアカウントで作成されるのかを判断できます。その後、Okta で各 App にユーザを割り当て、Jamf Connectユーザの App の割り当てを使用して、正しいローカルアカウントタイプを作成することができます。

  • Jamf Unlock の展開Jamf Unlock app は、ペアリングのプロセスにおいてユーザを認証する際に、OpenID Connect 認証プロトコルのみを使用します。

ユーザが Jamf Connect の標準アカウントで作成されているか、ローカルアカウントで作成されているかを判断したい場合は、Okta で標準ユーザと管理者用の App 統合を作成し、必要に応じて、App にユーザを割り当てることができます。その後、Jamf Connect はユーザが割り当てられた App を使用して、正しいローカルアカウントを作成します。

  1. Okta Admin Console にログインします。
  2. Applications (アプリケーション) をクリックします。
  3. Create App Integration (App 統合を作成する) をクリックします。
  4. Create a new app Integration (新しい App 統合を作成する) ウィンドウで以下のことを実行してください:
    1. サインイン方法として、OIDC - OpenID Connect を選択します。
    2. アプリケーションタイプとして、Native Application (ネイティブアプリケーション) を選択します。
    3. Next (次へ) をクリックします。
  5. 次の App 統合設定を構成します:
    1. Application name (アプリケーション名) フィールドに Jamf Connect など、ご利用の app の名前を入力してください。
    2. (オプション) アプリケーションロゴをアップロードします。
    3. Authorization Code (認証コード)Implicit (hybrid)(暗黙的 (ハイブリッド)) コード付与タイプを選択します。
    4. 役割の割り当て用か、Jamf Unlock 認証用の App を構成するかに応じて、Sign-in redirect URIs (サインインリダイレクト URI) フィールドに、次のいずれかを入力します:
      • 役割の割り当て (macOS)https://127.0.0.1/jamfconnect
      • Jamf Unlock 認証 (iOS)jamfunlock://callback/auth
    5. Save (保存)をクリックします。
これにより、app 統合を Jamf Connect でのユーザ役割の作成や Jamf Unlock app での認証に使用できるようになります。
Jamf Connect でユーザがローカル管理者で作成されたものか、標準アカウントで作成されたものかを判断したい場合は、このプロセスを繰り返して、管理者と標準ユーザをそれぞれの Okta app 統合に割り当てます。
注: 両方の app 統合に管理者を割り当てる必要があります。
以下の値を必ずコピーして、Jamf Connect ログインウィンドウの構成プロファイルに使用してください。
  • 各 app 統合のクライアント ID。これらの値を使用して、該当の Access Client ID (アクセスクライアント ID)Admin Client ID (管理クライアント ID)、および Secondary Login Client ID (セカンダリログインクライアント ID) 設定を構成します。

  • リダイレクト URI。この値を使用して Redirect URI (リダイレクト URI) 設定を構成します。

許可の種類を変更

Okta で作成する Jamf Connect app 統合ごとに、可能な許可のタイプを変更する必要があります。

  1. 新しく作成した Jamf Connect app を選択します。
  2. General (一般) 領域で以下を行います。
    1. Allowed Grant Type (可能な許可の種類) で Implicit (Hybrid) (暗黙的 (ハイブリッド)) を選択します。
    2. Allow ID Token with implicit grant type (暗黙的な許可の種類で ID トークンを許可) および Allow Access Token with implicit grant type (暗黙的な許可の種類でアクセストークンを許可) を選択します。
    3. Save (保存)をクリックします。

Jamf Connect の app 統合において、このプロセスを繰り返します。

多要素認証の有効化

マルチファクタ認証 (MFA) をユーザに対して有効にする場合は、App レベルではなくオーガニゼーションレベルで MFA を有効にする必要があります。MFA を有効にするには、Okta Admin Dashboard で Security (セキュリティ) > Authentication (認証) > Sign On (サインオン) に移動してから、新しいサインオンポリシーを作成します。

免責事項:

Jamf Connect Login を利用すると、同じユーザ名とパスワードのユーザが不適切なローカルアカウントにログインしてしまうことがあります。ユーザが自分のアカウントだけにログインできるようにするには、多要素認証 (MFA) の方法を利用することが推奨されます。Jamf は、同一にプロビジョンされたアカウント認証情報による損害やセキュリティエクスプロイトに対して責任や義務を負うことはありません。

注:

App レベルで MFA を有効にすることは推奨されず、Jamf Connect でエラーが発生することがあります。