Skip to main content
Jamf Nation, hosted by Jamf, is a knowledgeable community of Apple-focused admins and Jamf users. Join us in person at the ninth annual Jamf Nation User Conference (JNUC) this November for three days of learning, laughter and IT love.

Jamf Connect を使用したカスタムアイデンティティプロバイダの構成

この記事では、カスタムクラウドアイデンティティプロバイダ (IdP) で Jamf Connect を構成する方法について説明します。

概要

Jamf Connect は現在、次の一般的なクラウドアイデンティティプロバイダ (IdP) をサポートしています:

  • Google Cloud Identity
  • IBM Cloud Identity
  • Microsoft Azure AD
  • Okta
  • OneLogin
  • PingFederate

ただし、Jamf Connect は、OpenId Connect (OIDC) 認証プロトコルをサポートするカスタム IdP で構成することもできます。

カスタム IdP で Jamf Connect を使用するには、以下の手順に従ってください:

手順 1: Jamf Connect をご利用のアイデンティティプロバイダと統合します。

ほとんどの IdP は、App を追加して OpenID Connect 認証を有効にする方法を提供します。サポートされている場合、IdP の指示を完了して以下の値を生成します。これらの値は、後で Jamf Connect コンピュータ構成プロファイルに追加します:

  • Client ID (クライアントID)- Jamf Connect App の一意の識別子
  • Redirect URL (リダイレクトURL)- 認証プロセス中にユーザをリダイレクトするために使用される URL
  • Discovery URL (ディスカバリーURL)- OpenID 構成情報を保存する IdP の OpenID メタデータドキュメント。この値は、次の形式で表示されます: 「https://domain.url.com/.well-known/openid-configuration」

手順 2: OpenID Connect 許可タイプを有効にします。

OpenID Connect は、複数の認証フロー (許可) をサポートしています。Jamf Connect は、IdP で有効にする必要がある次の許可タイプを使用します:

  • Authorization code (認証コード)- Jamf Connect が IdP トークンエンドポイントに送信する認証コードと引き換えに、ユーザのクラウドユーザ名とパスワードを認証します。
  • リソース所有者パスワード許可 (ROPG)- ユーザのクラウドユーザ名とパスワードを IdP のトークンエンドポイントに対して直接認証します。この認証方法は、パスワード同期にのみ使用されます。

Jamf Connect による認証の詳細については、ナレッジベース記事の「OpenID Connect 認証を使用した Jamf Connect を理解する)を参照してください。

注:一部の IdP は ROPG 許可フローをサポートしない場合があります。IdP で ROPG がサポートされていない場合、Jamf Connect Login でのアカウント作成中に Jamf Connect Verify を使用したり、パスワードを同期したりすることはできません。ログインの問題を回避するには、Jamf Connect Login 構成プロファイルで「OIDCNewPassword」環境設定キーを True に設定する必要があります。

手順 3: Jamf Connect 構成プロファイルを作成します。

Jamf Connect が IdP と統合されると、Jamf Connect 構成プロファイルを作成できます。構成プロファイルは、次の環境設定ドメインに書き込む必要があります:

  • com.jamf.connect.login
  • com.jamf.connect.verify (ROPG がサポートされている場合)

構成プロファイルには、次の環境設定キーが含まれている必要があります:

  • 「OIDCProvider」- 「Custom (カスタム)」に設定します。
  • 「OIDCClientID」- Jamf Connect の IdP によって生成されたクライアント ID に設定します。
  • 「OIDCRedirectURI」- 構成または必要に応じて、Jamf Connect App のリダイレクト URI に設定します。
  • 「OIDCDiscoveryURL」- IdP の OpenID Connect メタデータドキュメントの URL に設定します。この値は、次のようにフォーマットされます: 「https://domain.url.com/.well-known/openid-configuration」。
  • 「OIDCROPGID」- IdP でサポートされている場合、ROPG 認証に使用されるクライアント ID に設定します。この値は通常、「OIDCClientID」の値と一致します。
  • 「OIDCNewPassword」- ローカルアカウントを別のパスワードで作成する場合、または ROPG が IdP でサポートされていない場合、「True」に設定します。ネットワークアカウントのパスワードと同じパスワードでローカルアカウントを作成する場合は、 False に設定します。

注:IdP に応じて、追加のキーが必要になる場合があります。詳しくは、Jamf Connect 管理者ガイドを参照してください。

以下は、Jamf Connect Login の構成プロファイルの一例です:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>OIDCProvider</key>
        <string>Custom</string>
        <key>OIDCROPGID</key>
        <string>3bdd52c7-ee36-4689-8517-c5fed2c98s5</string>
        <key>OIDCClientID</key>
        <string>3bdd52c7-ee36-4689-8517-c5fed2c98s5</string>
        <key>OIDCRedirectURI</key>
        <string>https://127.0.0.1/jamfconnect</string>
        <key>OIDCDiscoveryURL</key>
        <string>https://identity-provider-example-address.com/.well-known/openid-configuration</string>
        <key>OIDCNewPassword</key>
        <false/>
     </dict>   
</plist>

手順 4: Jamf Connect を展開する

Jamf Connect の構成プロファイルを作成したら、Jamf Connect App と構成プロファイルをローカルにインストールするか、MDM ソリューションを介してターゲットコンピュータにインストールできます。

Jamf Pro を使用している場合、ナレッジベース資料の「Jamf Pro を使用したカスタム構成プロファイルの展開」を参照してください。

追加情報

詳細情報は、Jamf Connect 管理者ガイドの以下のセクションを参照してください:

Like Comment

Jamf would like to understand your ideal online purchasing experience!