Jamf ProにおいてSAML連携を設定した場合、全てのユーザーに対してSAML認証が強制され、パスワード認証によるログインはできなくなります。SAML連携の設定に不備があり、Jamf Proの管理者アカウントからロックアウトされた場合、SSO Settingsの更新権限を持つユーザーのみが、SAML回避用URLのフェイルオーバーログインURLを介してパスワード認証でログインできるようになります。
本記事では、OneLogin から Jamf Pro へのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスプラン が SSO, Advanced, Professional または旧ライセンスプラン Starter, Enterprise, Unlimited のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Jamf Proにおいて 管理者 権限をお持ちであること
SAML連携の設定
1. OneLogin側の操作
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
JAMF Pro と検索し、該当コネクタを選択します
-
[Save]をクリックします
-
More Actions > SAML Metadata を選択します
-
Configuration タブに移動し、以下の通りに設定します
項目 入力値 RelayState SSO後に遷移するJamf ProのURL(任意) Subdomain 例)Jamf ProのURLが https://pentiodev.jamfcloud.comの場合、pentiodev
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
2. Jamf Pro側の設定
- Jamf Proに管理者でログインし、設定 を開きます
- システム > シングルサインオン を選択します
- [編集]をクリックします
-
SSO 認証の有効化 にチェックを入れ、フェイルオーバーログイン URL をクリップボードへコピーします
-
SAML IdP 統合設定 を以下の通り設定します
*表に記載されていない項目は編集不要です。項目 入力値 アイデンティティプロバイダ [OneLogin]を選択 アイデンティティプロバイダのメタデータソース 1. OneLogin側の設定 で取得した onelogin_metadata_xxxxxxx.xmlアイデンティティプロバイダのユーザマッピング [NameID]を選択 Jamf Pro のユーザマッピング OneLogin上の Email の値と一致するJamf Pro上の属性を選択
- [保存]をクリックします
*操作後、ユーザー名とパスワードでのログインが無効となります。
SAML連携の設定は以上です。
SAML SSOの動作確認
- OneLoginに対象ユーザーでログインし、設定した JAMF Pro を選択します
- SAML認証が完了し、Jamf ProにSSOされることを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- Jamf Proに管理者でSSOし、設定 を開きます
- システム > シングルサインオン を選択します
- [編集]をクリックします
-
SSO 認証の有効化 のチェックを外し、[保存]をクリックします
SAML SSOの無効化は以上です。