シングルサインオン拡張機能とは
「拡張シングルサインオン」または「SSOe」としても知られるこの機能は、2019年のWWDCでAppleが発表したmacOS/iOS/iPadOS用の構成プロファイルペイロードです。この構成プロファイルは、クラウドIDプロバイダによって守られているウェブサイト、アプリ、またはサービスへのアクセスを認証するリクエストをローカルアプリケーションにリダイレクトします。
SSOeコンパニオンアプリを提供しているIdPは現在2社ありますが、現時点ではパブリックレビュー段階で運用には至っていません。
ユーザがSAML、OAuth2.0またはOpenID Connect2.0といった認証方法を使ってサービスにログインしようとすると、SSOeの構成プロファイルペイロードがこのリクエストをリダイレクトするようAppleデバイスにインストールされているSSOアプリに伝えます。ペイロードはいわばローカルプロキシを通したプロセスリクエストのようなものです。例えば、MicrosoftのSSOに対応したウェブサイトにアクセスしたい場合、デバイスは代わりにMicrosoft Authenticatorアプリを起動します。
起動すると、最初にIdPにユーザの認証をリクエストし、リクエストが本当にそのユーザから来たものであるかを検証します。次に、「アクセストークン」と「リフレッシュトークン」を取得し、ユーザが次にパスワードを変更するまでログイン状態を維持します。その上で、認証アプリはユーザのサービスへのアクセス(例:Safari経由でSalforceへログイン、ネイティブのMicrosoft OutlookアプリからOffice 365のメールアカウントにアクセスなど)を認証します。
注:SSOeの構成プロファイルはリダイレクトだけでなく、SSOeアプリ内で認証情報をプロビジョニングするために設定することもできます。現時点では、Microsoft Azureはリダイレクトペイロード、Okta FastPassは認証ペイロードを使用しています。Oktaの場合、認証アプリ「FastPass」がOkta認証局(CA)から認証情報を取得し、ユーザを認証します。テクノロジーの開発が進むにつれ、いずれも今後の進展に注目が集まります。
プラットフォームシングルサインオン機能拡張とは
プラットフォームシングルサインオン機能拡張(PSSOe)は、Macのローカルユーザアカウントをシングルサインオンアプリケーションに紐付ける機能をSSOeの構成プロファイルに追加するものです。このモデルにおいては、ユーザがmacOSログイン画面にアクセスすると、IdPのログイン画面が表示されます。
なんだかJamf Connectと似ているような気もしますが、これについては後ほど詳しく説明します。Macログイン画面でログイン情報を入力すると、PSSOeアプリがユーザのローカルアカウントパスワードをアップデートするか、あるいはMacの安全な場所に保存されているトークンを使用して、ローカルでユーザの認証を行います。いずれのワークフローになるかは、開発者がどのようにPSSOeを書き込んだか、また管理者がログインの導入オプションをどのように設定したかで異なります。これに応じて、PSSOeアプリはユーザのアカウントパスワードをアップデートするか、もしくはMacに安全に保存されているトークンを使用してユーザ認証を実行します。
ログイン後、ユーザはIdPに守られている全てのリソースにアクセスすることができます。また、ログインを検出したSSOeアプリが自動的にユーザを認証するため、パスワードを再入力する必要がなくなりとてもスムーズです。
今回の発表がJamf Connectユーザに及ぼす影響とは
今回のことは、統合によって機能が強化されることの素晴らしい例と言えます。なぜなら、PSSOe単体でmacOSのローカルユーザアカウントを作成することは現在できないからです。PSSOeは、ローカルユーザアカウントがMac上で作成された場合にのみ機能します。そのため、PSSOeのメリットが発揮されるには、Macを初めて起動するタイミングで設定アシスタントを使用するか、管理者が他の方法でユーザアカウントを作成する必要があります。
一方、Jamf Connectでは、最初のユーザアカウントを作成し、さらに必要に応じて追加のアカウントを作成することができます。さらに、ローカルアカウントをIdPの認証情報に紐付けし、ユーザを管理者に指定すべきか、または標準ユーザとして設定すべきかを判断します。
その後、PSSOeはローカルユーザアカウントにリンクし、組織のIdPに守られたツールやリソースへのログインを許可します。
PSSOeはいつから使用できるのか
残念ながら、PSSOeを実際に使えるようになるまでにはかなり時間がかかりそうです。WWDC2022のセッション「What’s new in managing Apple devices(Appleデバイス管理における新機能)」でも発表されたように、PPSOeはmacOS Venturaのリリースと時期を同じくしてリリースされる予定はありません。開発者やIdP向けにPSSOeのプレビューモードのサポートが開始されたあと、最終的な調整を経てリリース日が発表される予定です。
PSSOeに影響を及ぼす複数の要素の中で特に重要なのが、前述の「リダイレクトペイロード」です。PSSOeの構成プロファイルペイロードが認証情報ペイロードではなく、リダイレクトペイロードを必要とするからです。
3年以上にわたる開発作業を経て、現時点でMicrosoft Azureのみが、アプリケーションによるリダイレクト型SSOeのパブリックプレビューをサポートしています。OktaによるPSSOeのサポートに関しては、Okta Identity EngineへのアップグレードとOkta FastPassへの数点の変更を待たなければなりません。
一刻も早くPSSOeを使ってみたいと考える管理者もいる一方、こういった新しいテクノロジーを導入して既存のワークフローと完全に統合させるには時間がかかります。それならば、リリース後にスムーズに導入できるよう今のうちに戦略を練っておくのがベストかもしれません。
将来的にPSSOeの導入を考えている管理者向けに、以下の準備をお勧めします:
-
まずはIdPに相談しましょう。PSSOeのサポートはお使いのIdPが対応しているワークフローによって異なります。この機能がどうしても必要で、提供しているIdPが1社しか存在しない場合、IdPを切り替えるために必要な労力はどの程度なのか考えておくべきでしょう。
-
macOS Venturaの検証を始めましょう。PSSOeはVentura以前のmacOSとの後方互換性を持ちません。そのため、組織のMacフリートを最新のOSにアップデートする必要があります。さらにSSOeは、SAML、OAuth2.0、OpenID Connect 2.0認証でゲートされたネイティブアプリケーション、そしてSafariを使用したウェブサイトでのみ動作することが確認されているため、ウェブベースのすべてのアプリをSafari環境でテストする必要があります。
-
この新しいテクノロジーを導入するのに現実的なスケジュールを設定しましょう。AppleがSSOeフレームワークを発表したのは2019年です。続いてPSSOeフレームワークは2022年6月に発表されました。これらの発表以降、いずれのフレームワークについても、それをサポートする製品版ソフトウェアのリリースに至ったIdPは現時点ではまだ存在しません。
Jamf Connectで今できること
SSOeとの統合に対応したJamf Connectは、今すぐに導入できるソリューションです。PSSOeが正式に利用可能になった際には間違いなくユーザエクスペリエンスを向上させてくれます。Jamf Connectなら、以下のことが可能です。
-
ユーザは単一のIdP認証情報でMacにログインできます。これにより、組織のリソースにIdPログインを使ってアクセスすることが普通となります。
-
ユーザのアカウント権限はIdPによって保護されています。つまり、管理者レベルの権限を誰に割り当てるのかを一箇所で管理することができるということです。さらに、「管理者アカウントをMac上で作成するのはどうしても必要な時のみ」というセキュリティのベストプラクティスにも準拠しています。
-
オンボーディング体験のカスタマイズが可能です。Jamf Connectは、エンドユーザのオンボーディングを効率化し、デバイスの電源を入れた瞬間から生産的に作業を始められるよう支援します。
-
現在利用しているIdPが既存のSSOeアプリのプレビューをサポートしている場合は、Jamf Connectで作成したアカウントで試すことができます。組織のリソースへのシンプルかつ簡単なアクセスを一度体験すれば、きっと考えが大きく変わるはずです。
-
組織内のセキュリティ担当チームと一緒に、SSOeやPSSOeがもたらす影響について考えることができます。その際に新しいテクノロジーの効果について疑問が生じた場合は、Jamf ProtectやJamf Private Accessといったより成熟したセキュリティ製品に関心を持たれるかもしれません。
専用のゼロトラストネットワークアクセス(ZTNA)を含むJamfの統合ソリューションなら、IdPを活用して以下の方法で組織のセキュリティを強化できます。
-
デバイスの状態を頻繁にチェック
-
アプリの脆弱性ステータスを検証
-
ネットワークコミュニケーションを保護
-
ユーザによる危険行為を軽減
-
リソースに安全にアクセスするためのマイクロトンネルを構築
-
リスクに晒されたデバイスやユーザへのアクセスを拒否
-
影響を受けたリソースへのアクセスだけをブロックして生産性を維持
-
自動化されたワークフローでデバイスの修復を実行
SSOeが正式にリリースされて組織で活用できるのを待つ間に、今後のセキュリティプランを考え始めてはいかがですか?
お気軽にJamfまでお問い合わせください。既存の認証&IdPワークフローにJamf Connectを統合して、成熟した認証システムのメリットを得ると同時に、今後の展開に向けた万全な体制を整える方法をご提案します。
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。