Jamf Connect 2.7以降、JamfとGoogleの協力により、Googleのユーザ名とパスワードでMac上にジャストインタイムでユーザアカウントを作成して、そのパスワードが同期できるようになります。
これまでは、GoogleをIdPとして利用している企業にとってmacOSのユーザパスワードをクラウドと同期するには多くの制限がありました。IT管理者は、ユーザを信頼し、パスワードは同じはずと信じるか、macOSに多くの面倒事が発生するとわかっていても、GoogleセキュアLDAPに手動でバインドするしかありませんでした。今回、Jamfは統合するクラウドアイデンティティプロバイダ(クラウドIdP)の一員としてGoogleを迎えました。
はじめに
Jamf Connectは、GoogleセキュアLDAPを使用してユーザのパスワードを同期します。サービスを利用するには、Google Cloud Identityまたは、GoogleセキュアLDAPを含む以下のGoogle Workspaceのエディションへの申し込みが必要になります。
- Business Plus
- Enterprise
- Education Fundamentals
- Education Standard
- Teaching and Learning Upgrade
- Education Plus
初めて設定する場合には、Google Workspaceの管理者権限を持つお客様の組織の担当者の方が、管理者インターフェースから証明書を取得して、Macに配布する必要があります。
以前にLDAPクライアントを設定したことがある場合は簡単です。ユーザを認証し、グループ情報を読み取る適切な権限が既存のLDAPクライアントにある限り、必要なのはそのクライアント用に作成された証明書だけです。
管理者がLDAPを設定したことのない場合は、Googleのドキュメントを参照して、LDAPクライアントを追加してください。ステップ2「アクセス権を設定する」にたどり着いたら、以下の点について、用途に合わせて選択していきましょう。
1. 「ユーザの認証情報を確認するためのLDAPクライアントのアクセスレベルを指定する」 - ここでは、パスワード同期機能にアクセスできるグループユーザを選択します。
企業によっては、特定のグループだけにアクセスを制限したい場合もあるでしょう。例えば、生徒だけのLDAPクライアントと、教員と事務員だけのLDAPクライアントを別に作成することができます。その場合、生徒向けと教員・事務員向けの2つのOIDCアプリケーションとGoogle用のJamf Connectの構成を作成し、維持する必要があります。そして、MDMの機能を使用して、ひとつの構成プロファイルは生徒のグループ用に、それ以外のユーザには別の構成プロファイルを適用します。
複雑に思えるかもしれませんが、Jamf ProとJamf Schoolならさまざまな属性に基づいて、デバイスのグループを簡単に絞ることができます。例えば、生徒プロファイルを持つ全てのコンピュータと、1つづつ別のプロファイルを持つ教員用のコンピュータをターゲットにすることができます。
同期機能の使用権限を全てのユーザに与えたい企業は、全ユーザにアクセス権を付与することも可能です。その場合はプロファイルと構成が1つづつ全てのユーザに作成されます。
どのような設定を選択しても、Jamfはいつでもお客様のサポートをいたします。
2. 「ユーザ情報を読み取るためのLDAPクライアントのアクセスレベルを指定する」 - Googleがユーザに関する情報をコンピュータに知らせることを希望するかを設定します。
このステップでは、必ず「『ユーザ認証情報の確認』からコピー」を選択して、上記のステップで選択したユーザグループにアクセス権を付与するようにしてください。そして、「システム属性」(ユーザ名、メールアドレス等)利用できるようにすることと、Macの管理者、または標準ユーザであるかを判断するためにユーザが所属するグループを確認するため、「グループ情報の読み取り」設定を利用できるようにしてください。
あともう少しで完了です。「ステップ 3:生成された証明書をダウンロードする」において、Jamf Connectに必要な証明書がすべてダウンロードされます。Jamf Connectがここで設定したLDAPに接続できるようにMacに証明書が配布されます。.zipファイルをMacにダウンロードして次のステップに進みます。
Jamf ConnectとMac用に証明書の作成
ここでは証明書をMacで使用できるフォーマットに変換する必要があります。コマンドを実行するにはターミナルが必要です。
このコマンドを実行する際には、ファイルをドラッグ&ドロップすると簡単です。以下のビデオを参照してください。
.p12ファイルの名前は任意の名称で問題ありませんが、Jamf SchoolまたはJamf Pro に後ほどアップロードする際に必要になりますので、パスワードを忘れないようにしてください。
Macに証明書をアップロード
次に、Macに証明書をアップロードします。アップロードのタイミングは、別の構成プロファイルが作成できるようにJamf Connectのインストール前、またはJamf Connectの設定と一緒にペイロードに含めるか、どちらでも問題ありません。
Jamf Proで「コンピュータ」→「構成プロファイル」の順に移動し、新しいプロファイルを作成します。後で検索して見つけやすい名前をつけ、カテゴリーを選択します。画面左側で「証明書」ペイロードを選択します:
証明書に「Google LDAP Certificate」など覚えやすい名前を付け、アップロードするオプションを選択します。すべてのアプリが証明書にアクセスできるようにし、セキュリティを強化するためにキーチェーンから配布先へエクスポートできるオプションを外します。
https://account.jamf.comからダウンロードした.dmg内にあるJamf Connect Configuration Appで作成したJamf Connect用の設定を、Jamf Nation認証情報とともに対象のコンピュータに適用すれば完了です。ログイン時にすること、パスワードの変更方法、またMacにアクセスする際にGoogleの認証情報を今後使用できるようになったことをユーザに知らせてください。
Googleの認証情報とJamf Connectを組み合わせて使いましょう
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。