Google CloudとJamf Connectでパスワードの同期が可能に

Jamfは、Googleのユーザ名とパスワードでMac上にジャストインタイムでユーザアカウントを作成、そして、パスワードを同期できる、新しくシンプルな方法を発表しました。

December 6 2021 投稿者

Sean Rabbitt

Jamf Connect 2.7以降、JamfとGoogleの協力により、Googleのユーザ名とパスワードでMac上にジャストインタイムでユーザアカウントを作成して、そのパスワードが同期できるようになります。

これまでは、GoogleをIdPとして利用している企業にとってmacOSのユーザパスワードをクラウドと同期するには多くの制限がありました。IT管理者は、ユーザを信頼し、パスワードは同じはずと信じるか、macOSに多くの面倒事が発生するとわかっていても、GoogleセキュアLDAPに手動でバインドするしかありませんでした。今回、Jamfは統合するクラウドアイデンティティプロバイダ(クラウドIdP)の一員としてGoogleを迎えました。

はじめに

Jamf Connectは、GoogleセキュアLDAPを使用してユーザのパスワードを同期します。サービスを利用するには、Google Cloud Identityまたは、GoogleセキュアLDAPを含む以下のGoogle Workspaceのエディションへの申し込みが必要になります。

  • Business Plus
  • Enterprise
  • Education Fundamentals
  • Education Standard
  • Teaching and Learning Upgrade
  • Education Plus

初めて設定する場合には、Google Workspaceの管理者権限を持つお客様の組織の担当者の方が、管理者インターフェースから証明書を取得して、Macに配布する必要があります。

以前にLDAPクライアントを設定したことがある場合は簡単です。ユーザを認証し、グループ情報を読み取る適切な権限が既存のLDAPクライアントにある限り、必要なのはそのクライアント用に作成された証明書だけです。

管理者がLDAPを設定したことのない場合は、Googleのドキュメントを参照して、LDAPクライアントを追加してください。ステップ2「アクセス権を設定する」にたどり着いたら、以下の点について、用途に合わせて選択していきましょう。

1. 「ユーザの認証情報を確認するためのLDAPクライアントのアクセスレベルを指定する」 - ここでは、パスワード同期機能にアクセスできるグループユーザを選択します。

企業によっては、特定のグループだけにアクセスを制限したい場合もあるでしょう。例えば、生徒だけのLDAPクライアントと、教員と事務員だけのLDAPクライアントを別に作成することができます。その場合、生徒向けと教員・事務員向けの2つのOIDCアプリケーションとGoogle用のJamf Connectの構成を作成し、維持する必要があります。そして、MDMの機能を使用して、ひとつの構成プロファイルは生徒のグループ用に、それ以外のユーザには別の構成プロファイルを適用します。

複雑に思えるかもしれませんが、Jamf ProとJamf Schoolならさまざまな属性に基づいて、デバイスのグループを簡単に絞ることができます。例えば、生徒プロファイルを持つ全てのコンピュータと、1つづつ別のプロファイルを持つ教員用のコンピュータをターゲットにすることができます。

同期機能の使用権限を全てのユーザに与えたい企業は、全ユーザにアクセス権を付与することも可能です。その場合はプロファイルと構成が1つづつ全てのユーザに作成されます。

どのような設定を選択しても、Jamfはいつでもお客様のサポートをいたします。

2. 「ユーザ情報を読み取るためのLDAPクライアントのアクセスレベルを指定する」 - Googleがユーザに関する情報をコンピュータに知らせることを希望するかを設定します。

このステップでは、必ず「『ユーザ認証情報の確認』からコピー」を選択して、上記のステップで選択したユーザグループにアクセス権を付与するようにしてください。そして、「システム属性」(ユーザ名、メールアドレス等)利用できるようにすることと、Macの管理者、または標準ユーザであるかを判断するためにユーザが所属するグループを確認するため、「グループ情報の読み取り」設定を利用できるようにしてください。

あともう少しで完了です。「ステップ 3:生成された証明書をダウンロードする」において、Jamf Connectに必要な証明書がすべてダウンロードされます。Jamf Connectがここで設定したLDAPに接続できるようにMacに証明書が配布されます。.zipファイルをMacにダウンロードして次のステップに進みます。

Jamf ConnectとMac用に証明書の作成

ここでは証明書をMacで使用できるフォーマットに変換する必要があります。コマンドを実行するにはターミナルが必要です。

このコマンドを実行する際には、ファイルをドラッグ&ドロップすると簡単です。以下のビデオを参照してください。

 .p12ファイルの名前は任意の名称で問題ありませんが、Jamf SchoolまたはJamf Pro に後ほどアップロードする際に必要になりますので、パスワードを忘れないようにしてください。

Macに証明書をアップロード

次に、Macに証明書をアップロードします。アップロードのタイミングは、別の構成プロファイルが作成できるようにJamf Connectのインストール前、またはJamf Connectの設定と一緒にペイロードに含めるか、どちらでも問題ありません。

Jamf Proで「コンピュータ」→「構成プロファイル」の順に移動し、新しいプロファイルを作成します。後で検索して見つけやすい名前をつけ、カテゴリーを選択します。画面左側で「証明書」ペイロードを選択します:

証明書に「Google LDAP Certificate」など覚えやすい名前を付け、アップロードするオプションを選択します。すべてのアプリが証明書にアクセスできるようにし、セキュリティを強化するためにキーチェーンから配布先へエクスポートできるオプションを外します。

https://account.jamf.comからダウンロードした.dmg内にあるJamf Connect Configuration Appで作成したJamf Connect用の設定を、Jamf Nation認証情報とともに対象のコンピュータに適用すれば完了です。ログイン時にすること、パスワードの変更方法、またMacにアクセスする際にGoogleの認証情報を今後使用できるようになったことをユーザに知らせてください。

Googleの認証情報とJamf Connectを組み合わせて使いましょう

Jamfブログの購読

市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。