Self Service+ 認証設定

Jamf Connect ドキュメント

Solution
Application: Jamf Connect
Content Type: テクニカル資料
Utilities & Services
ft:locale: ja-JP

ドメイン —com.jamf.connect
ディクショナリ —IdPSettings
説明 —
Self Service+ (旧 Jamf Connect メニューバー App) が IdP とローカルアカウント間の認証を完了できるようにするために使用されます。必要となる設定は IdP によって異なります。


設定	説明
アイデンティティプロバイダ `Provider`	(必須) クラウドアイデンティティプロバイダの名前を指定します。以下の値がサポートされています。 EntraID (旧称 Azure) IBMCI GoogleID Okta OktaIdentityEngine Okta OIDC OneLogin PingFederate カスタム `<key>Provider</key> <string>Azure</string>`
Okta 認証サーバ `OktaAuthServer`	(必須：Okta Classic Engine または Okta Identity Engine) 所属する組織の Okta ドメインまたはカスタム認証サーバを指定します。ドメインの場合、先頭の「https://」はオプションです。 `<key>OktaAuthServer</key> <string>your-company.okta.com</string>`
クライアント ID `ROPGID`	(必須：OpenID Connect のみ) IdP の Self Service+ App のクライアント ID を指定します。この値を使用すると、Self Service+ がリソース所有者パスワード許可 (ROPG) を完了することができ、このプロセスではパスワードの検証が実施されます。 `<key>ROPGID</key> <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>`
ディスカバリー URL `DiscoveryURL`	IdP の OpenID Connect Discovery のエンドポイントを指定します。この値は、次の形式で表示されます。`https://domain.url.com/.well-known/openid-configuration` AD FS を使用している場合、この値は AD FS ドメインと以下を組み合わせたものです。/adfs/.well-known/openid-configuration/ Note: アイデンティティプロバイダ (`OIDCProvider`) が `Custom` または `PingFederate` に設定されている場合、この設定は必須です。 `<key>DiscoveryURL</key> <string>https://domain.url.com/.well-known/openid-configuration</string>`
テナント ID `TenantID`	所属する組織が認証に使用するテナント ID を指定します。 Note: IdP が IBM Security Verify の場合、この値は必須であり、IBM URL (例：https://companyname.ibmcloud.com) で使用されているテナント名と一致します。 `<key>TenantID</key> <string>companyname</string>`
パスワード変更 URL `ChangePasswordURL`	ユーザがパスワードを変更できる IdP でサポートされている Web ページを開く URL を指定します。 Note: Entra ID が IdP の場合、デフォルト URL は https://mysignins.microsoft.com/security-info/password/change です。 IdP が Okta の場合、デフォルト URL は Okta 認証サーバ (`OktaAuthServer`) 環境設定キーに一覧表示されているドメインであり、この後に /enduser/settings が続きます。 IdP が Google Identity の場合、Jamf は次の URL を使用することをお勧めします。https://myaccount.google.com/intro/signinoptions/password よりカスタマイズされた Entra ID、Okta、または Google Identity 環境を使用しているオーガニゼーションは、カスタム URL を使用できます。 `<key>ChangePasswordURL</key> <string>https://IDP_EXAMPLE.com/.well-known/change-password</string>`
パスワードリセット URL `ResetPasswordURL`	ユーザがパスワードを忘れた場合にリセットできる IdP でサポートされている Web ページを開く URL を指定します。 Note: Entra ID が IdP の場合、デフォルト URL は https://passwordreset.microsoftonline.com/ です。 IdP が Okta の場合、デフォルト URL は Okta 認証サーバ (`OktaAuthServer`) 環境設定キーに一覧表示されているドメインであり、この後に /signin/forgot-password が続きます。 IdP が Google Identity の場合、Jamf は次の URL を使用することをお勧めします。アカウントの復旧 (Google) よりカスタマイズされた Entra ID、Okta、または Google Identity 環境を使用しているオーガニゼーションは、カスタム URL を使用できます。 `<key>ResetPasswordURL</key> <string>https://IDP_EXAMPLE.com/.well-known/change-password</string>`
クライアントシークレット `ClientSecret`	IdP の Self Service+ App のクライアントシークレットを指定します。 `<key>ClientSecret</key> <string>yourClientSecret</string>`
スコープ `Scopes`	カスタム OIDC Scope を指定します。これは、認証中にユーザの ID トークンで追加のクレームを返します。スタンダードスコープは `openid`、`profile`、`offline_access` を含んでいます。複数の Scope を含める場合、「+」を使用してそれらを区切ります。 `<key>Scopes</key> <string>openid+profile</string>`
パスワード検証の成功コード `SuccessCodes`	Self Service+ で成功したと解釈される必要がある、ROPG パスワード検証中に IdP からのエラーコードを含む文字列の配列を指定します。ご使用の環境で構成する必要がある可能性のあるエラーコードについては、Microsoft のドキュメント Microsoft Entra 認証と承認のエラーコードを参照してください。お使いの環境で OneLogin と多要素認証を使用する場合、このキーを MFA に設定してください。 `<key>SuccessCodes</key> <array> <string>AADSTS50012</string> <string>AADSTS50131</string> </array>`
ライセンスファイル `LicenseFile`	Base64 データ形式でエンコードされた Jamf Connect ライセンスファイルのコンテンツを指定します。ライセンスファイルは Jamf Account から入手できます。 `<key>LicenseFile</key> <data>encoded-license-content</data>`
管理者の属性 `OIDCAdminAttribute`	権限昇格機能のユーザ特権昇格の役割 (`UserPromotionRole`) 設定内で使用する属性を指定します。デフォルトでは、Self Service+ は groups (グループ) 属性を使用して、管理者の役割 (`OIDCAdmin`) 設定で指定された値を検索します。 Note: Microsoft Entra ID を使用している場合、この値を `roles` に設定します。Google Identity を使用している場合、ID トークンを使用してユーザロールを定義することはできません。管理者の属性 (`OIDCAdminAttribute`) 設定を手動で構成する場合は、`TemporaryUserPermissions` 辞書ではなく、`IdPSettings` 辞書に設定を追加します。 `<key>OIDCAdminAttribute</key> <string>groups</string>`