OpenID Connect ユーザロール設定

Jamf Connect ドキュメント
Solution
Application
Jamf Connect
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP
  • ドメインcom.jamf.connect.login
  • 説明

    OpenID Connect 認証から受信した ID トークン属性からユーザロールを設定するために使用されます。

設定

説明

管理者の属性

OIDCAdminAttribute

ユーザに対して標準または管理者のローカルアカウントを作成するかどうかを決定するために、ID トークンに保存されているどの属性を使用するかを指定します。デフォルトでは、Jamf Connectgroups (グループ) 属性を使用して、管理者の役割 (OIDCAdmin) 設定で指定された値を検索します。

Note:
  • Microsoft Entra ID を使用している場合、この値を roles に設定します。
  • Google Identity を使用している場合、ID トークンを使用してユーザロールを定義することはできません。
<key>OIDCAdminAttribute</key>
<string>groups</string>

管理者の役割

OIDCAdmin

アカウント作成時に IdP で設定した、どのユーザロール (またはグループ) をローカル管理者にするかを指定します。1つの役割または複数の役割を文字列の配列として指定することができます。Jamf Connect は、管理者の属性 (OIDCAdminAttribute) 設定が構成されていない限り、デフォルトでは、ID トークンの「groups」属性でこれらの値を検索します。

Note:
  • Okta Identity Engine を使用している場合、OpenID Connect のスコープ (OIDCScopes) 設定は、次のスコープで指定する必要があります。openid profile email groups で置き換えないでください。Okta では + の代わりにスコープリクエストにスペース区切り文字が必要です。
  • Google Identity を使用している場合、ID トークンを使用してユーザロールを定義することはできません。
<key>OIDCAdmin</key>
<array>
<string>role-one</string>
<string>role-two</string>
<string>role-three</string>
<string>role-four</string>
</array> 

役割を無視

OIDCIgnoreAdmin

有効 (true に設定) にされると、Jamf Connect Login は IdP に存在するロールをすべて無視します。この設定は、ローカルユーザアカウントが管理者アカウントまたは標準アカウントとして現在のステータスを維持することを保証します。

無効 (false に設定) または未指定の場合、Jamf Connect Login は構成された役割の OIDCAdmin 設定を読み込み、IdP の役割に基づいてローカルユーザアカウントのステータスを変更します。

<key>OIDCIgnoreAdmin</key>
<false/>

セカンダリアクセスグループ

OIDCSecondaryAccess

最初のローカルアカウントの作成後にユーザがコンピュータ上で追加のユーザを作成できるかどうかを決定するためにユーザ役割 (またはグループ) を指定します。OIDCProviderAzure または EntraID に設定されている場合は、Jamf Connect は ID トークンの role 属性でこれらの値を検索します。Jamf Connect は、他のすべての OIDC プロバイダの ID トークンの OIDCAdminAttribute 属性でこれらの値を検索します。
Note:

Okta Identity Engine を使用している場合、OpenID Connect のスコープ (OIDCScopes) 設定は、次のスコープで指定する必要があります。openid profile email groups で置き換えないでください。Okta では + の代わりにスコープリクエストにスペース区切り文字が必要です。

<key>OIDCSecondaryAccess</key>
<array>
<string>IT</string>
</array>
セカンダリアクセスのローカルアカウントを無視する

ExistingUsersHide

Jamf Connect がセカンダリアクセス機能に基づいて新しいアカウントのプロビジョニングをブロックすると判断した場合に無視するローカルユーザアカウント名 (IT サービスアカウントなど) を指定します。Okta Classic のセカンダリログインクライアント ID (OIDCSecondaryLoginClientID) または他のすべてのアイデンティティプロバイダのセカンダリアクセスグループ (OIDCSecondaryAccess) と組み合わせて使用できます。 
<key>ExistingUsersHide</key>
<array>
	<string>it-admin</string>
</array>