Skip to main content
Jamf Nation, hosted by Jamf, is a knowledgeable community of Apple-focused admins and Jamf users. Join us in person at the ninth annual Jamf Nation User Conference (JNUC) this November for three days of learning, laughter and IT love.

Azure AD ハイブリッドアイデンティティソリューションを使用した Jamf Connect の構成

概要

この記事では、Azure AD を使用したハイブリッドアイデンティティソリューションにより Jamf Connect を構成する方法について説明します。

要件

Azure AD を使用したハイブリッドアイデンティティソリューションで Jamf Connect を構成するには、以下のものが必要です:

  • Jamf Connect 1.8.0 以降
  • macOS 10.12 以降
  • Microsoft Azure
  • Windows Server 2016 (AD FS 4.0を含む)

ハイブリッドアイデンティティ環境について

Jamf Connect を使用すると、ユーザはクラウドアイデンティティを使用して macOS ローカルアカウントを作成し、ローカルとクラウドの資格情報を同期することができます。ただし、多くのオーガニゼーションでは、クラウドとオンプレミスの両方のアイデンティティソリューションを利用するハイブリッドアイデンティティ環境を実装しています。これらの環境では、ユーザ資格情報はオンプレミスで保存され、Azure AD などのクラウドアイデンティティプロバイダ (IdP) と共有するために追加の構成が必要になる場合があります。

Azure 管理者は、Azure AD とオンプレミスアクティブディレクトリ間の信頼を確立する Azure AD Connect を使用して、ハイブリッドアイデンティティ環境を確立できます。その後、Azure AD Connect は次の方法でユーザ認証を有効にできます:

  • パスワード Hash (ハッシュ) 同期 - ユーザの Azure AD とオンプレミス AD パスワードの Hash (ハッシュ) を同期します。
  • パススルー認証 - ユーザが Azure AD とオンプレミス AD の両方で同じパスワードで認証できるようにします。
  • フェデレーション統合 - クラウドアイデンティティプロバイダ (IdP) が、オンプレミスのアクティブディレクトリフェデレートサービス (AD FS) などの別の認証方法に認証を渡すことができます。

これらの認証方法と Azure AD Connect の詳細については、Microsoft の次の資料を参照してください: https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/whatis-azure-ad-connect

Jamf Connect およびハイブリッドアイデンティティ環境

Jamf Connect 1.8.0 以降はハイブリッドアイデンティティをサポートしており、クラウドまたはオンプレミスでパスワード検証を実行できます。

ご使用の環境でパスワード Hash (ハッシュ) 同期またはパススルー認証を使用している場合、Jamf Connect では、認証に Microsoft アイデンティティプラットフォーム (v2.0) エンドポイントを使用するための追加の構成が必要となります。

AD FS とのフェデレーション統合が環境に実装されている場合、Jamf Connect では、次の OpenID Connect 許可タイプを個別に実行するための追加の構成が必要となります:

  • 認証コード許可を使用して、Azure AD からアクセス、更新、および ID トークンを取得します。
  • リソース所有者パスワード許可 (ROPG) を使用して、ユーザのローカルユーザ名とパスワードがオンプレミスの AD 資格情報と一致することを確認します。

Jamf Connect を使用した OpenID Connect 認証の詳細については、ナレッジベース記事の「OpenID Connect 認証を使用した Jamf Connect を理解する」を参照してください。

パスワード Hash (ハッシュ) 同期またはパススルー認証を使用した Jamf Connect の構成

認証に Microsoft アイデンティティプラットフォーム (v2.0) エンドポイントを使用するように Jamf Connect を構成できます。これにより、Azure AD とオンプレミス AD の間でパスワード Hash (ハッシュ) 同期またはパススルー認証を使用できます。この方法を使用すると、AD FS フェデレーション統合よりも AD 環境内での構成が少なくて済みます。

Microsoft アイデンティティプラットフォーム (v2.0) の詳細については、Microsoft の次の資料を参照してください: https://docs.microsoft.com/ja-jp/azure/active-directory/develop/azure-ad-endpoint-comparison

以下の環境設定キーを Jamf Connect Login および Jamf Connect Verify 構成プロファイルに追加します:

キー 説明
OIDCProvider 認証に使用するクラウド IdP として Azure AD を指定します。 <key>OIDCProvider</key>
<string>Azure</string>
OIDCClientID ユーザを認証するために使用される IdP で登録された App のアプリケーション ID (クライアント ID)。 <key>OIDCClientID</key>
<string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
OIDCNewPassword このキーにより、ユーザは ROPG 認証用のネットワークパスワードを再入力するように求められます。このキーを False に設定する必要があります。 <key>OIDCNewPassword</key>
<false/>
ROPGProvider ROPG 認証が発生する場所を指定します。
パスワード Hash (ハッシュ) 同期またはパススルー認証を使用するには、この値を「Azure_v2」に設定します。これにより、Jamf Connect Login は認証に Microsoft アイデンティティプラットフォーム (v2.0) エンドポイントを使用できます。
<key>ROPGProvider</key>
<string>Azure_v2</string>
OIDCROPGID Azure AD 登録済み App のクライアント ID。これは、OIDCClientID キーと同じ値になります。 <key>OIDCROPGID</key>
<string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
ROPGTenant ROPG 認証に使用するオーガニゼーションのテナント ID。 <key>ROPGTenant</key>
<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
ROPGClientSecret Jamf Connect アプリケーションのクライアントシークレット。クライアントシークレットを構成するときは、次のシナリオを考慮してください:

ROPG 認証にクライアントシークレットを使用していない場合は、この値を「None (なし)」に設定します。

ROPGと Azure AD の承認の許可の両方に同じクライアントシークレットを使用している場合は、このキーを設定しないでください。Jamf Connect Login は、認証とパスワード検証の両方に「OIDCClientSecret」キーで設定されたシークレットを使用します。

認証プロセスごとに異なるクライアントシークレットを使用する場合は、「OIDCClientSecret」と「ROPGClientSecret」の両方をそれぞれの値に設定します。

<key>ROPGClientSecret</key>
<string>あなたのクライアントシークレット</string>

次の構成プロファイルは一例です:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
 <dict>
  <key>OIDCProvider</key> 
  <string>Azure</string>
  <key>OIDCClientID</key>
  <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
  <key>OIDCRedirectURI</key>
  <string>https://127.0.0.1/jamfconnect</string>
  <key>ROPGProvider</key>
  <string>Azure_v2</string>
  <key>ROPGTenant</key>
  <string>13e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
  <key>OIDCROPGID</key>
  <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
  <key>ROPGClientSecret</key>
  <string>36fe230f-811a-4703-965e-0eb569dfc8c1</string>
 </dict>
</plist>

フェデレーション統合 (AD FS) を使用した Jamf Connect の構成

ROPG 認証プロセスを Azure AD から分離するには、まず AD FS を有効にして OpenID Connect (OIDC) を使用する必要があります。 手順については、Microsoft の次の資料を参照してください: https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/development/enabling-openid-connect-with-ad-fs

OIDC で AD FS が有効になったら、Azure AD と AD FS の両方と通信するように Jamf Connect を構成する必要があります。

以下の環境設定キーを Jamf Connect Login および Jamf Connect Verify 構成プロファイルに追加します:

キー 説明
OIDCProvider 認証に使用するクラウド IdP として Azure AD を指定します。 <key>OIDCProvider</key>
<string>Azure</string>
OIDCClientID ユーザを認証するために使用される IdP で登録された App のアプリケーション ID (クライアント ID)。 <key>OIDCClientID</key>
<string>8zcc52c7-ee36-4889-8517-lkjslkjoe23</string>
OIDCNewPassword このキーは、AD FS を使用した ROPG 認証用のネットワークパスワードの再入力をユーザに求めます。このキーを False に設定する必要があります。 <key>OIDCNewPassword</key>
<false/>
ROPGProvider ROPG 認証が発生する場所を指定します。
AD FS を使用するには、この値を「Custom」に設定します。
<key>ROPGProvider</key>
<string>Custom</string>
OIDCROPGID ROPG 認証を実行する Jamf Connect AD FS アプリケーションのクライアント ID。 <key>OIDCROPGID</key>
<string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>
ROPGRedirectURI AD FS で作成されたアプリケーションにより使用されるリダイレクト URI。 <key>ROPGRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>
ROPGTenant ROPG 認証に使用するオーガニゼーションのテナント ID。 <key>ROPGTenant</key>
<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
ROPGDiscoveryURL OpenID Connect ディスカバリエンドポイントを指定します。この値には、AD FS ドメインと次の組み合わせが含まれます: 「/adfs/.well-known/openid-configuration」
<key>ROPGDiscoveryURL</key>
<string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>
ROPGClientSecret Jamf Connect アプリケーションのクライアントシークレット。クライアントシークレットを構成するときは、次のシナリオを考慮してください:

ROPG 認証にクライアントシークレットを使用していない場合は、この値を「None (なし)」に設定します。

ROPGと Azure AD の承認の許可の両方に同じクライアントシークレットを使用している場合は、このキーを設定しないでください。Jamf Connect Login は、認証とパスワード検証の両方に「OIDCClientSecret」キーで設定されたシークレットを使用します。

認証プロセスごとに異なるクライアントシークレットを使用する場合は、「OIDCClientSecret」と「ROPGClientSecret」の両方をそれぞれの値に設定します。

<key>ROPGClientSecret</key>
<string>あなたのクライアントシークレット</string>

次の構成プロファイルは一例です:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
 <dict>
  <key>OIDCProvider</key> 
  <string>Azure</string>
  <key>OIDCClientID</key>
  <string>3bff52c7-rr36-4889-8517-c5fed2c79573</string>
  <key>OIDCRedirectURI</key>
  <string>https://127.0.0.1/jamfconnect</string>
  <key>ROPGProvider</key>
  <string>Custom</string>
  <key>OIDCROPGID</key>
  <string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>
  <key>ROPGTenant</key>
  <string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
  <key>ROPGRedirectURI</key>
  <string>https://127.0.0.1/jamfconnect</string>
  <key>ROPGDiscoveryURL</key>
  <string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string
  <key>ROPGClientSecret</key>
  <string>36fe230f-811a-4703-965e-0eb569dfc8c1</string>
 </dict>
</plist>

追加情報

Jamf Connect の構成についての詳細は、Jamf Connect 管理者ガイドを参照してください。

Jamf Connect を使用した OpenID Connect 認証の詳細については、次のナレッジベース資料を参照してください:

Azure AD を使用したハイブリッドアイデンティティソリューションの詳細については、Microsoft の次の資料参照してください:

Like Comment

Jamf would like to understand your ideal online purchasing experience!