インバウンド通信モードでは、デバイスが証明書を必要とすると、Jamf Pro は証明書要求を AD CS に渡す Jamf AD CS Connectorに接続します。AD CS は新しく生成された証明書を Jamf Pro に返します。このインバウンド接続では、通常、ファイアウォールポートを開き、DMZ経由でブリッジを構成して Jamf Cloud からネットワークへの接続を許可する必要があります。
Jamf AD CS Connector は Jamf Pro 経由でクライアント証明書要求を受信し、Microsoft の IIS Web サーバを使用して実行されます。Jamf Pro から要求を受信すると、そのコネクタは Web 要求を Microsoft のネイティブ DCOM プロトコルに変換し、それを AD CS サーバに渡してから、AD CS の証明書要求番号を返します。次に、Jamf Pro は要求番号をコネクタ経由で AD CS に送り返し、完成した証明書が生成されたかどうかを確認します。証明書の準備ができたら、Jamf Pro に戻され、管理対象のデバイスに配布するために再パックされます。デバイスがコネクタに直接接続することはないため、ファイアウォールルールを使用してアクセスを制限できます。Jamf Pro のみが、サービスへの認証に必要なクライアント証明書を保持することになります。
このプロセスは、どちらのサービスも AD CS への安全な Web フロントエンドを作成するという点で、Microsoft の NDES (SCEP) サーバのロールで使用されるプロセスと似ています。主な違いは、コネクタでは接続を認証するため、チャレンジパスワードではなくクライアント証明書が必要なことです。また、コネクタは複数のテンプレートの使用をサポートしますが、NDES サーバは単一の AD CS 証明書テンプレートを使用します。
Jamf Pro は、Jamf AD CS Connector を使用して AD CS と通信し、証明書を取得します。すべての通信は mTLS 認証を使用して安全に処理されます。
以下の図は、インバウンド通信モードにおける Jamf AD CS Connector の一般的な実装を示しています。
- Jamf Cloud と DMZ の Jamf AD CS Connector
-
以下の図は、Jamf AD CS Connector が DMZ でホストされている場合に、Jamf Pro と AD CS 間の通信フローを示しています。Jamf Pro はクライアント証明書を使用して Jamf AD CS Connector サーバに対して認証を行い、Jamf AD CS Connector は DCOM 経由で Microsoft CA に連絡して証明書を要求します。
- Jamf Cloud と DMZ リバースプロキシレイヤ
-
以下の図は、Jamf AD CS Connector とともにリバースプロキシまたはロードバランサーを使用している場合の Jamf Pro と AD CS 間の通信フローを示しています。リバースプロキシは、DMZ から内部ネットワークに必要なオープンポートの数を減らすため、またはネットワーク環境が DMZ ベースのホストを AD にバインドすることを許可しない場合に、DMZ 内で使用することができます。
- DMZ 内のオンプレミス Jamf Pro サーバ
-
以下の図は、Jamf Pro サーバが DMZ 内でホストされている場合の Jamf AD CS Connector 使用時の Jamf Pro と AD CS 間の通信フローを示しています。
注:-
証明書を受信するには、内部ネットワーク上のデバイスが Jamf Pro と通信できる必要があります。
-
クラスタ化された環境では、各ノードがコネクタと通信できる必要があります。
-