Jamf Account とのシングルサインオン (SSO) 統合により、管理者はサポートされているすべての Jamf 製品に対して一元的な SSO 構成を使用できます。この統合では、セキュリティをさらに強化するための多要素認証も可能になります。
Jamf Account との SSO 統合は、OIDC (OpenID Connect) と呼ばれるプロトコルを利用しています。Jamf Account での OIDC ベースの SSO は、Jamf Pro 11.13.0以降で管理者が利用できます。
この資料では、Jamf Account での管理者向けの OIDC ベースの SSO の使用に関する質問を扱います。管理者とエンドユーザが利用できる SSO オプションの概要については、Jamf Pro ドキュメント のシングルサインオン (SSO) を参照してください。
- Jamf Account で OIDC ベースの SSO を使用する技術的なメリットは何ですか?
- Jamf Account で OIDC ベースの SSO を使用すると、Jamf はより小さなアプリケーションを構築し、シームレスなユーザインターフェイスを使用してそれらを Jamf Pro に挿入できるため、別の Jamf アプリケーションにログインする回数が減ります。Jamf Account 経由の SSO では共有認証方式を使用するため、新しいアプリケーションは追加の設定なしで Jamf Pro とインタラクションを行うことができます。これは、Jamf Pro 経由の SAML ベースの SSO の現在の制限では不可能です。また、Jamf Account 経由の SSO に依存する新しい機能は、Jamf Pro リリースサイクル外でアップデートを受信することができます。
- すでに Jamf Pro で SSO を構成しています。Jamf Account 経由の SSO 統合を使用する理由は何ですか?
- Jamf Account での OIDC ベースの SSO は、管理者が Jamf Pro やその他の Jamf アプリケーションの特定の機能にアクセスするために必要です。この統合を使用すると、1セットのログイン認証情報で複数の Jamf 製品にアクセスできます。
- Jamf Pro ですでに SSO を構成していますが、Jamf Account との SSO 統合を使用したいと考えています。どうすればよいですか?
- まだ構成していない場合は、Jamf Account で OIDC ベースの SSO を構成するか、Jamf ID を作成する必要があります。Jamf Account で SSO 統合を構成したら、Jamf Pro のシングルサインオン設定に移動し、OIDC 認証を有効にします。エンドユーザに対して SAML ベースの SSO を引き続き使用する場合は、Jamf Pro でそのオプションを選択できます。
- Jamf Account 経由の管理者と Jamf Pro 経由のエンドユーザに対して異なる SSO 構成が必要なのはなぜですか?
Jamf Account は OIDC を使用した SSO 統合のみをサポートしています。Jamf Account との統合は、特定の Jamf プラットフォームの機能およびサービスを使用するために必要になるため、Jamf では、クラウドホスト型環境の管理者がこれらの機能にアクセスできるように、Jamf Account 経由で OIDC アプリケーションを設定することを推奨しています。Jamf Account との統合がない場合、Jamf Pro は SAML 2.0経由の認証のみをサポートします。
Jamf Pro 環境がオンプレミスの場合、または Jamf Premium Cloud Plus を使用している場合は、Jamf Pro 経由の SAML ベースの SSO を引き続き使用できます。
OIDC と SAML の両方の構成を同時に有効にすることも可能です。例えば、管理者には Jamf Account 経由の OIDC ベースの SSO を使用し、エンドユーザには SAML ベースの SSO を引き続き使用する場合は、Jamf Pro でそのオプションを選択できます。エンドユーザ向けの SSO 機能の詳細については、Jamf Pro ドキュメント の SAML による SSO を参照してください。
- 現在の IdP で使用するユーザおよびグループがすでに Jamf Pro に設定されています。Jamf Account で OIDC ベースの SSO 統合を使用するには、この設定をやり直す必要がありますか?
- 新しい IdP が古い IdP と同じ E メールアドレスまたはグループ名を返す場合、アクションは必要ありません。E メールアドレスまたはグループ名が一致しない場合は、必要なグループ名または E メールアドレスを追加する必要があります。
- 他の Jamf 製品に対する OIDC ベースの SSO を Jamf Account ですでに有効にしています。Jamf Pro に対して Jamf Account との SSO 統合を使用する場合は、どうすればよいですか?
- Jamf Account で、 に移動し、リストからアイデンティティプロバイダ接続を選択します。IdP 接続を選択したら、アプリケーションまで下にスクロールし、統合を利用できるようにする Jamf Pro インスタンスを選択します。ユーザの E メールアドレスが Jamf Pro で構成されているものと一致していることを確認します。
- 組織に IdP はありませんが、Jamf Account との SSO 統合を使用したいと考えています。どうすればよいですか?
- Jamf ID を使用できます。Jamf ID をログインオプションとして有効にするには、以下の手順を実行します。
まだ作成していない場合は、Jamf ID を作成します。
Account.jamf.com に移動します。
今すぐ作成をクリックし、画面の指示に従って Jamf ID を設定します。
Jamf Pro に、Jamf ID と一致するユーザ名と E メールアドレスを持つユーザを追加します。
Jamf Pro で SSO の OIDC 認証を有効にします。
- 組織の IdP を使用した Jamf Pro へのアクセスはできない状態で、Jamf Account で OIDC ベースの SSO を使用したい場合、どうすればよいですか?または、テストインスタンスで IdP を使用して SSO を構成したくない場合はどうすればよいですか?
- Jamf ID を使用できます。
- Jamf Account 経由の SSO は、Jamf Account にすでに存在する Jamf ID にどのような影響を与えますか?
- Jamf ID の動作に変わりはありません。ただし、バージョン11.13.0以降では Jamf ID を使用して Jamf Pro にログインできます。
- Jamf Account で保持できる SSO 接続は1つだけですか?Jamf Pro インスタンスが複数ある場合はどうなりますか?
- Jamf Account では複数の SSO インスタンスを構成できます。1つの SSO 接続を使用して複数の Jamf Pro インスタンスにアクセスすることも、異なる SSO 接続を使用して異なる Jamf Pro インスタンスにアクセスすることもできます。現在、複数の SSO 接続を使用して同じ Jamf Pro インスタンスにアクセスすることはできません。
- IdP ですでに Jamf Connect が構成されている場合、Jamf Account との SSO 統合を使用するにはどうすればよいですか?
- IdP では、サーバとサービスごとに個別の OIDC App を構成する必要があります。Jamf Connect 経由でエンドユーザ向けに OIDC App をすでに構成している場合でも、Jamf Account で管理者向けの SSO 統合用に別の OIDC App を構成する必要があります。