Jamf Account - OpenID Connect

本記事では、OneLoginからJamf AccountへのOpenID Connect（OIDC）シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

OIDC連携の設定

1. OneLogin側の設定

2. Jamf Account側の設定

Jamf各種製品へのSSO設定

1. Jamf Account側の設定

2. Jamf Pro側の設定

OIDC SSOの動作確認

1. OneLoginからのSSO

2. Jamf AccountからのSSO

OIDC SSOの無効化

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• 管理者権限を持つ Jamf ID を保有していること

OIDC連携の設定

1. OneLogin側の設定

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. Jamf Account (OIDC) と検索し、該当コネクタを選択します
   
   
    
5. ［Save］をクリックします
   
   
    
6. SSO タブに移動し、Client ID をコピーします
   
    
7. Authentication Method を POST に変更します
   
   
    
8. Show client secret をクリックします
   
   
    
9. Client Secret をクリップボードへコピーします
   
    
10. Issuer URL をクリップボードへコピーします
    
     
11. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
    

2. Jamf Account側の設定

1. Jamf Account を開き、管理者権限を持つJamf ID で Log In します
   
   
    
2. 組織 > SSO を選択します
   
   
    
3. ［ドメイン］ をクリックします
   
   
    
4. ［Add Domain］をクリックします
   
   
    
5. ドメイン名 を入力します
   例）Jamf Account のユーザーのメールアドレスが tanaka@demo.pentio-dev.com の場合 pentio-dev.com と入力
   
   
    
6. ［保存］ をクリックします
   
   
    
7. 記載された手順に従い、DNS TXT レコードをドメイン登録機関に登録します
   DNS TXT レコードが表示されるまでに、数分から数時間かかる場合があります
   
   
    
8. ［検証］をクリックします
   
   
    
9. SSO 接続 をクリックします
   
   
    
10. ［+ 新しい接続］をクリックします
    
    
     
11. 任意の 接続名 を入力します
    
    
     
12. ホストされる地域 で 日本 を選択します
    
    
     
13. クライアント ID に 1. OneLogin側の設定の手順6 でコピーしたClient IDを貼り付けます
    
    
     
14. クライアントシークレット に 1. OneLogin側の設定の手順9 でコピーしたClient Secretを入力します

    
    
     
15. 発行者の URLに 1. OneLogin側の設定の手順10 でコピーしたIssuer URLを入力します
    
    
     
16. SSOに利用するドメインを割り当てます
    
    
     
17. ［保存］をクリックします
    

OIDC連携の設定は以上です。

Jamf 各種製品へのSSO設定

Jamf 各種製品へのSSO設定を行うには、Jamf 各種製品への管理者権限が必要です。この設定を行うことで、Jamf 各種製品に対して、Jamf Account 経由のOIDCを用いたSSOを行うことができます。
各種製品の注意事項は下記に記載しております。

• Jamf Pro
  SSOを利用するには、OneLogin ユーザーのメールアドレスとJamf Pro の管理者ユーザーのメールアドレスが一致している必要があります。加えて、Jamf Pro 側の設定で記載したSSO用の追加設定が必要です。
• Jamf Security Cloud
  OneLogin ユーザーのメールアドレスとJamf Security Cloud のユーザーのメールアドレスが一致している必要があります。
• Jamf Protect
  OneLogin ユーザーのメールアドレスとJamf Protect のユーザーのメールアドレスが一致している必要があります。OneLogin ユーザーのメールアドレスに一致するユーザーがJamf Protectに存在しない場合、初回ログイン時に自動的にユーザーが作成されます。

1. Jamf Account 側の設定

1. Jamf Account を開き、管理者権限を持つJamf ID で Log In します
   
   
    
2. 組織 > SSO を選択します
   
   
    
3. ［編集］をクリックします
   
   
    
4. SSOを設定したいアプリケーションにチェックを入れます
   Jamf Pro へのSSO設定を行う場合は下記の手順に続いてJamf Pro 側の設定を行なってください
   
   
    
5. ［保存］をクリックします
   

2. Jamf Pro 側の設定

1. Jamf Pro に 管理者権限を持つアカウントでログインします
   
   
    
2. システム >［シングルサインオン］を選択します
   
   
    
3. ［編集］をクリックします
   
   
    
4. SSO 認証の有効化 にチェックを入れ、Jamf Account (OIDC) を選択します
   
   
    
5. ［保存］をクリックします
   

Jamf 各種製品へのSSO設定は以上です。

OIDC SSOの動作確認

動作確認を行う際は、一度Jamf Account およびOneLogin からログアウトした上で、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、上記設定を行ったJamf ID管理者としてのログイン済みセッションがないブラウザ環境でご確認ください。

1. OneLoginからのSSO

1. OneLoginに対象ユーザーでログインし、設定した Jamf Account (OIDC) を選択します
   
   
    
2. コネクタを割り当てたユーザーのメールアドレスを入力します
   
   
   *二度目以降のログインは、［Sign in with {テナント名} IdP］をクリックします。
   
   
    
3. ［Log In］をクリックします
   
   
    
4. OIDC認証が完了し、Jamf AccountにSSOされることを確認します
   

2. Jamf AccountからのSSO

1. Jamf Account を開き、コネクタを割り当てたユーザーで Log In します
   
   
    
2. OneLoginに設定したコネクタを割り当てたテストユーザーでログインを続行します
   
   
    
3. OIDC認証が完了し、Jamf AccountにSSOされることを確認します
   

OIDC SSOの動作確認は以上です。

OIDC SSOの無効化

1. Jamf Account に 管理者権限を持つJamf ID でログインします
   
   
    
2. 組織タブを選択し、［SSO］ をクリックします
   
   
    
3. ［削除］をクリックします
   

OIDC SSOの無効化は以上です。