高度なログイン設定

Jamf Connect ドキュメント

Solution
Application: Jamf Connect
Content Type: テクニカル資料
Utilities & Services
ft:locale: ja-JP

ドメイン —com.jamf.connect.login
説明 —
高度な認証設定を構成し、ID トークンでカスタムクレームを使用するために使用されます。


設定	説明
カスタム Okta 認証サーバ `OIDCAuthServer`	(Okta のみ) Okta テナントのカスタム認証サーバを指定します。これは、ローカルアカウントの作成中にユーザの ID トークン (`OIDCIDTokenPath` 設定を介して保存されます) でカスタムスコープとクレームを送信するために使用できます。この値を設定するには、カスタム認証サーバ IDを使用します。カスタム認証サーバの発行者 URI の末尾の文字列が、同 ID に該当します。以下の発行者 URI の `abc9o8wzkhckw9TLa0h7z` が認証サーバ ID です。例：`https://your-custom-auth-server.okta.com/oauth2/abc8o8wzjhckw` この設定を使用するには、Okta App 統合を作成し、(`OIDCAccessClientID`) 設定用のユーザ役割を定義する必要があります。注：この設定は、Okta テナントに OpenID Connect App および ID トークン属性を管理する個別の認証サーバが存在する場合に限り、使用するものとします。この設定を、認証サーバ (`AuthServer`) 設定で使用される主要なテナントと同一の値で構成すると、Okta による認証において予期せぬエラーが発生する場合があります。 `<key>OIDCAuthServer</key> <string>abc8o8wzjhckw9TLa0t8q</string>` カスタム認証サーバの作成の詳細については、Okta Developer ドキュメントのCreate an authorization server (認証サーバを作成する) を参照してください。
クッキーを無視してください `OIDCIgnoreCookies`	ログインウィンドウアプリケーションによって保存されているすべての Cookie を無視します `<key>OIDCIgnoreCookies</key> <false/>`
OpenID Connect スコープ `OIDCScopes`	カスタムスコープを指定します。これは、認証中にユーザの ID トークンで追加のクレームを返します。スタンダードスコープは `openid`、`profile`、`offline_access` を含んでいます。複数のスコープを含める場合、「+」を追加してそれらを区切ります。 `<key>OIDCScopes</key> <string>openid+profile</string>`
氏名 `OIDCFullName`	`firstName` や `lastName`、または環境に固有の他のカスタム値など、氏名に単一の異なるクレームを指定します。この設定は、アカウントの氏名/フルネームを設定するために使用されるデフォルトの属性を上書きします。`name`、`family_name/given_name`、`first/last`。 `<key>OIDCFullName</key> <string>customName</string>`
省略名 `OIDCShortName`	ユーザの ID トークンのどのクレームをローカル macOS アカウント名 (省略名) として使用するかを指定します。ユーザのネットワーク固有名 (UPN プレフィックス) が、エイリアスとしてユーザのローカルアカウントに追加されます。既存のローカルアカウントをネットワークアカウントに接続 (`Migrate`) 設定が構成されている場合、省略名 (`OIDCShortName`) 設定で定義された値が、既存のローカル UNIX ユーザアカウントのエイリアスとして表示されます。この設定では、既存のユーザのローカルアカウント名は変更されません。注：使用するクレームがスタンダード ID トークンにはない場合、`OIDCScopes` 環境設定キーのある追加のクレームを指定することにより、追加のクレームを ID トークンで受け取ることができます。 `<key>OIDCShortName</key> <string>given_name</string>`
ROPG の短い名前 `OIDCROPGShortName`	ID トークンのどのクレームを ROPG 認証中 (パスワードの検証中) にユーザ名として使用するかを指定します。注：使用するクレームがスタンダード ID トークンにはない場合、`OIDCScopes` 環境設定キーのある追加のクレームを指定することにより、追加のクレームを ID トークンで受け取ることができます。この設定は、ROPG ワークフロー中に Jamf Connect がユーザ名 (`unique_name`、`preferred_username`、`email`、`sub` など) を定義するために使用されるクレームを IdP が考慮しない複雑な IdP 環境でのみ使用されます。 `<key>OIDCROPGShortName</key> <string>given_name</string>`
フォーマット済みの ID トークンパス `OIDCIDTokenPath`	ユーザのフォーマット済み ID トークンを保存するために使用できるファイルパスを指定します。注：この設定では、RunScript メカニズムが有効になっている必要があります。詳しくは、ログインスクリプトの追加を参照してください。 `<key>OIDCIDTokenPath</key> <string>/tmp/token</string>`
未フォーマットの ID トークンパス `OIDCIDTokenPathRaw`	ユーザの未フォーマット ID トークンを保存するために使用できるファイルパスを指定します。注：この設定では、RunScript メカニズムが有効になっている必要があります。詳しくは、ログインスクリプトの追加を参照してください。 `<key>OIDCIDTokenPathRaw</key> <string>/tmp/token-raw</string>`
`UseUserInfo`	(PingFederate のみ) 有効にされると (true に設定)、この設定により、Jamf Connect は PingFederate ユーザトークンから追加のクレームを要求できます。この設定は、PingFederate から社内管理参照トークンを発行している場合だけ使用できます。 PingFederate の管理の詳細については、PingIdentity ドキュメントのOAuth configuration (OAuth 構成) を参照してください。 `<key>UseUserInfo</key> <false/>`