Jamf Connect Login ウィンドウは、グループメンバーシップに基づいてユーザへのアクセスまたはローカル管理者権限を制限するために、OIDC アプリケーションで使用できます。Okta 認証 API がアプリケーションに対してユーザを認証できる場合、そのユーザはグループのメンバーであり、権限が付与されます。
また、この目的での Jamf Connect Login ウィンドウの使用は、Jamf Connect Configuration のアイデンティティプロバイダ (OIDCProvider) 設定が Okta に設定されている場合にのみサポートされます。アイデンティティプロバイダ (OIDCProvider) 設定が Okta-OIDC または OktaIdentityEngine に設定されている場合、管理者役割 (OIDCAdmin) およびセカンダリアクセスグループ (OIDCSecondaryAccess) 設定の詳細については、OpenID Connect ユーザロール設定 を参照してください。
以下の3つの権限を付与できます。
- アクセスクライアント ID
OIDCAccessClientID - アカウントの作成やコンピュータへのログインを許可されているユーザが使用する OIDC (OpenID Connect) アプリケーションを指定します。
- 管理クライアント ID
OIDCAdminClientID - アカウント作成時にローカル管理者として作成されたユーザが使用する OIDC (OpenID Connect) アプリケーションを指定します。
- セカンダリログインクライアント ID
OIDCSecondaryLoginClientID - 最初のアカウントが作成された後、コンピュータ上で追加のユーザを作成することを許可されているユーザが使用する OIDC (OpenID Connect) アプリケーションを指定します。この設定により、選択したユーザグループが追加のユーザアカウントを作成できるようになり (例えば、IT 管理者スタッフが1回限りの実践的な管理タスクを行うなど)、許可されていないユーザが別のユーザに発行された1:1機器を使用することを防止できます。
DenyLocalフラグのステータスを確認するfalse または未定義の場合は、ローカル macOS ユーザデータベースを確認してください。アカウントが存在する場合は、ローカルでユーザを認証します。既存のアカウント権限を保持します。
true の場合、続行し、Okta 認証 API を使用して Okta テナントに対してユーザを認証します。
Okta テナントへの認証で得られたアクセストークンを使用して、以下を決定します。
定義済みの場合、ユーザはアクセスクライアント ID (
OIDCAccessClientID)に対して認証できますか?定義済みの場合、ユーザはセカンダリログインクライアント ID (
OIDCSecondaryClientID) App に対して認証できますか?また、ローカルパスワードを持つ既存のローカルユーザアカウントは存在しますか?定義済みの場合、ユーザは管理クライアント ID (
OIDCAdminClientID) に対して認証できますか?
また、制限アプリケーションの使用はオプションであり、組織のログイン要件に応じて1つまたは複数のアプリケーションを定義できます。
すべてのユーザは標準である必要があります。アクセスクライアント ID (OIDCAccessClientID) に使用する App を定義します。コールセンターチームのユーザグループを Okta の App に割り当てます。その App に割り当てられたユーザのみが Mac にログインでき、任意のコンピュータでアカウントを作成できます。ユーザが管理者になることはありません。