ユーザが Jamf Connect または Self Service+ にログインする際、パスワードは安全なテキストフィールドに入力され、macOS キーチェーンの外にあるディスクには決して書き込まれません。
Kerberos が使用される場合、パスワードは gss_aapl_initial_cred() API の呼び出しで使用されます。これはユーザを認証し、チケット保証チケット(TGT) を取得します。パスワードの変更時には、gss_aapl_change_password() API 呼び出しを使用して、同じプロセスが行われます。両方の API 呼び出しが、Heimdal Kerberos の Apple の実装を利用しています。
すべての Kerberos アクションは Apple の API により実行されます。パスワードは「kinit」や他の Kerberos コマンドラインインターフェース (CLI) ツールによりキャッシュされることは決してありません。
アイデンティティプロバイダ (IdP) として Okta と統合されるとき、Jamf Connect と Self Service+ は Okta 認証 API を使用します。Okta 認証 API の詳細については、Application types (okta Developer) (アプリケーションタイプ (okta Developer)) を参照してください。
他の IdP プロバイダに統合されるとき、Jamf Connect と Self Service+ は OpenID Connect 認証プロトコルを使用して IdP と通信を行います。
すべてのネットワーク接続は macOS の URL ロード API である URLSession を使用して行われます。破損していないことを保証するために、すべての通信は TLS によりセキュリティが確保されます。
ログインウィンドウでパススルー認証が有効になっている場合、ログインウィンドウの Web ビューに入力されたユーザパスワードは一時的にメモリに書き込まれ、ログインの際、またはコンピュータでのローカルアカウントの作成の際に使用されます。Jamf Connect がユーザのパスワードを使用して終了すると、この値はすぐに nil として上書きされ、メモリから割り当て解除されます。nil
OpenID Connect の詳細については、What is OpenID Connect (OpenID Connect とは) を参照してください。