本記事でご紹介するIruのPassport機能を利用することで、Macへのログイン時に、MFA(多要素認証)を含むOneLogin認証を使用できるようになります。
本記事では、Iru のPassport機能を有効にし、Macへのログイン時にMFA(多要素認証)を含む OneLogin の認証を要求する設定手順をご案内します。
目次
- 前提条件
- 1. OneLogin側の操作
- 2. Iru側の設定
- 3. OneLogin側の設定
- Iruへのデバイス登録
- Passport機能の初回設定
- 動作確認
- MFAの適用
- Passport機能の無効化
前提条件
- OneLoginのライセンスプラン が Professional または旧ライセンスプラン Unlimited のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Iruの Account Owner または Admin 権限をお持ちであること
- Iru - ユーザープロビジョニング の設定が完了していること
1. OneLogin側の操作
この章ではOneLoginにて、Passport機能に用いる3つのコネクタの設定を行います。1-3. Webログイン時にMFAを利用するためのコネクタの設定(任意)はMacへのログイン時にMFAを用いる場合にのみ設定が必要となります。
1-1. デバイスとユーザーを紐づけるためのコネクタの設定
本章では、デバイス登録時にデバイスとユーザーを紐づけるためのコネクタの設定を行います。
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Iru エンロールメント (SAML) と検索し、該当コネクタを選択します
-
Visible in portal を無効にします
*本コネクタはOneLoginポータル画面をSSOの起点としないため、ポータル画面でのコネクタ非表示を推奨いたします。
- [Save]をクリックします
-
SSO タブに移動し、Issuer URL をクリップボードへコピーします
-
SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
-
View Details をクリックします
- [Download]をクリックします
1-2. ログイン時にパスワード認証を行うコネクタの設定
本章ではMacへのログイン時にOneLoginから認証情報を取得するコネクタの設定を行います。
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Iru Passport パスワード同期用 (OIDC) と検索し、該当コネクタを選択します
-
Visible in portal のトグルボタンを 無効 にします
*本コネクタはOneLoginポータル画面をSSOの起点としないため、ポータル画面でのコネクタ非表示を推奨いたします。
- [Save]をクリックします
-
SSO タブに移動し、Client ID をクリップボードへコピーします
-
Issuer URL をクリップボードへコピーします
-
Application Type を Native に変更します
-
Token Endpoint 値を None (PKCE) に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
1-3. Webログイン時にMFAを利用するためのコネクタの設定(任意)
本章ではWebログイン時にOneLoginにMFAの認証情報を送るコネクタの設定を行います。本節はMFAを利用しない場合は不要のため2. Iru側の設定(前半)に進んでください。
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Iru Passport MFA用 (OIDC) と検索し、該当コネクタを選択します
-
Visible in portal を 無効 にします
*本コネクタはOneLoginポータル画面をSSOの起点としないため、ポータル画面でのコネクタ非表示を推奨いたします。
- [Save]をクリックします
-
SSO タブに移動し、Client ID をクリップボードへコピーします
-
Show client secret をクリックします
-
Client Secret をクリップボードへコピーします
-
Authentication Method を POST に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
2. Iru側の設定
2-1. SAML連携の設定
この章ではIruにて、デバイスにユーザーを割り当てるSAML認証を設定します。
- Iruのログイン画面でテナント名を入力し、管理者でログインします
- 左下のユーザーをクリックします
- [アクセス]をクリックします
- [+ Authentication method]をクリックします
- 任意の Display name を入力します
- [SAML]を選択します
- [Create]をクリックします
-
Service provider entity ID をクリップボードへコピーします
-
Assertion consumer service (ACS) URL をクリップボードへコピーします
-
IdP Entity ID に 1-1. デバイスとユーザーを紐づけるコネクタの設定 手順10 で取得した Issuer URL を貼り付けます
-
IdP Single Sign-on URL に 1-1. デバイスとユーザーを紐づけるコネクタの設定 手順11 で取得した SAML 2.0 Endpoint (HTTP) を貼り付けます
-
IdP Signature Certificate に 1-1. デバイスとユーザーを紐づけるためのコネクタの設定 手順14 で取得した証明書をアップロードします
-
Sign SAML Authentication Request を無効にします
-
Response Signature Verification を Response に変更します
- [Save]をクリックします
2-2. Libraryの設定
本章ではLibrary内のPassport機能を設定します。
- [Library]をクリックします
- [登録構成]を選択します
- Passport >[もっと見る]をクリックします
- [追加と構成]をクリックします
- 上部の入力欄にLibraryにつける任意の名前を入力します
例)Mac認証
-
アイデンティティプロバイダ で[OneLogin]を選択します
-
アイデンティティプロバイダ URL に1-2. ログイン時にパスワード認証を行うコネクタの設定 手順8でコピーした Issuer URL と".well-known/openid-configuration"を結合し入力します
例)Issuer URL がhttps://jp.onelogin.com/oidc/2の場合はhttps://jp.onelogin.com/oidc/2/.well-known/openid-configurationと入力します
-
クライアントID(パスワード同期)に1-2. ログイン時にパスワード認証を行うコネクタの設定 手順7でコピーした Client ID を貼り付けます
Macへのログイン時に MFAを用いない場合 は本節の手順10を、MFAを用いる場合 は本節の手順11から手順14を参考に設定を行います
- Macへのログイン時にMFAを用いない場合は 認証モード をMacログインに変更します。本節の手順11から手順14はMFAを用いる際の設定のため、本節の手順15に移動します。
- Macへのログイン時にMFAを用いる場合は 認証モード を Webログイン に変更します
-
Client ID (Web Authentication) に1-3. Webログイン時にMFAを利用するためのコネクタの設定 手順7でコピーした Client ID を貼り付けます
-
リダイレクトURI に https://localhost.redirect と入力します
-
クライアントシークレット に1-3. Webログイン時にMFAを利用するためのコネクタの設定 手順9でコピーした Client Secret を貼り付けます
-
ユーザアカウントの種類 のプルダウンで 標準ユーザ を選択します
-
既存のローカルユーザーへのリンクを必須にする のチェックボックスにチェックを入れます
- [保存]をクリックします
2-3. Blueprintへの割り当て
本章では、Libraryをデバイスに割り当てるBlueprintの設定を行います。
- [Blueprints]をクリックします
- [Blueprintを追加]を選択します
- [最初から作成]を選択します
-
Blueprint名 に任意の名前を入力します
例)Mac割り当て用
- [Blueprintを作成]をクリックします
-
条件付きロジックを追加 の上の[+]をクリックします
-
4-1. Libraryの設定 手順6で設定したLibraryをこのBlueprint上のすべてのデバイスにドラッグ&ドロップします
*本ドキュメントではBlueprint上の全てのデバイスに適用していますが、ユーザーの属性などを条件としたBlueprintの適用も可能です。詳しくはUsing Conditional Logic in Assignment Mapsをご覧ください
- 右側にあるブロックを削除するため ゴミ箱 のボタンをクリックします
- 確認を求められるため、[はい、削除します。]をクリックします
- [保存]をクリックします
- 続けて[保存]をクリックします
3. OneLogin側の設定
この章ではOneLoginにて、デバイスとユーザーを割り当てるコネクタにIruの設定情報を入力します。
-
Configuration タブに移動し、Service provider entity ID に 2. Iru側の設定(前半)手順8 で取得した Service provider entity ID を貼り付けます
-
Assertion consumer service (ACS) URL に 2. Iru側の設定(前半)手順9 で取得した Assertion consumer service (ACS) URL を貼り付けます
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
5. Iruへのデバイス登録
5-1. Iru側での登録準備
- [登録]をクリックします
- [手動登録]を選択します
-
登録ポータルのリンク をクリップボードへコピーします
例)https://example.iru.com/enroll
-
4-2. Blueprintへの割り当て 手順4で作成した Blueprint をクリックします
- [設定を編集]をクリックします
-
認証が必要 にチェックを入れます
-
接続 のプルダウンで2. Iru側の設定(前半)手順5で作成したSAML認証を選択します
-
デバイスレコードにユーザを割り当て にチェックを入れます
- [保存]をクリックします
- 6桁の数字をクリップボードへコピーします
5-2. 管理対象となるMacでの登録作業
- 管理対象となるMacのブラウザで5-1. Iru側での登録準備 手順3でコピーしたリンクを開きます
例)https://example.iru.com/enroll
-
5. デバイスのIruへの登録 手順10でコピーした6桁の数字を入力します
- [続行]をクリックします
- OneLoginのログインフォームが開くので、デバイスを利用するユーザーの ユーザー名 または メールアドレス を入力します
- [続行する]をクリックします
- 続いて、パスワード を入力します
- [続行する]をクリックします
- [ダウンロード]をクリックします
- ダウンロードが完了したら、Macの設定で一般 > デバイス管理 を開きます
*Macのバージョンの違いにより設定項目の名称や配置が異なる場合がありますのでご注意ください
- [+]をクリックします
- 開いたFinderでダウンロードしたファイルを選択します
- [開く]をクリックします
- [インストール]をクリックします
- Macのパスワードを入力します
- [登録]をクリックします
-
デバイス(管理対象)に新規のアイコンが追加されます。
- 画面右上部のIruのアイコンをクリックします
-
Iru Self Service をクリックします
- [同期]をクリックします。完了したら再起動を行い設定を反映します。
以上でデバイスのIruへの登録は完了です。
6. Passport機能の初回設定
この章ではPassport機能の初回設定を行います。Macログインを利用する場合とWebログインを利用する場合は手順が異なります。そのため、1-3. Webログイン時にMFAを利用するためのコネクタの設定(任意)の設定を行なっていない場合は6-1. Macログインの場合の初回設定に、設定を行なっている場合は6-2. Webログインの場合の初回設定に進みます。
6-1. Macログインの場合の初回設定
- Iruのロゴが表示されているか確認します。表示されていない場合は5-2. 管理対象となるMacでの登録作業 手順17を再度実行してください。
- ログイン画面で5-2. 管理対象となるMacでの登録作業 手順4で入力した ユーザー名 または メールアドレス と同じものを入力します
-
5-2. 管理対象となるMacでの登録作業 手順6で入力したパスワードと同じ パスワード を入力し、エンターキーを押します
- Macのローカルアカウントの ユーザー名 を入力します
- ローカルアカウントの パスワード を入力します
- [続行]をクリックします
- [アカウントをリンクする]をクリックします
6-2. Webログインの場合の初回設定
- OneLoginのログイン画面が表示されるため、5-2. 管理対象となるMacでの登録作業 手順4で入力した ユーザー名 または メールアドレス と同じものを入力します
- [続行する]をクリックします
-
5-2. 管理対象となるMacでの登録作業 手順6で入力したパスワードと同じ パスワード を入力します
- [続行する]をクリックします
- もう一度、5-2. 管理対象となるMacでの登録作業 手順6で入力したパスワードと同じ パスワード を入力します
- Macのローカルアカウントの ユーザー名 を入力します
- アカウントの パスワード を入力します
- [続行]をクリックします
- [アカウントをリンクする]をクリックします
以上でWebログインの初回設定は完了です。
7. 動作確認
この章ではPassport機能の動作確認を行います。Macログインを利用する場合とWebログインを利用する場合は手順が異なります。そのため、1-3. Webログイン時にMFAを利用するためのコネクタの設定(任意)の設定を行なっていない場合は7-1. Macログインでの動作確認に、設定を行なっている場合は7-2. Webログインでの動作確認に進みます。
7-1. Macログインでの動作確認
- ログイン画面で5-2. 管理対象となるMacでの登録作業 手順4で入力した ユーザー名 または メールアドレス と同じものを入力します
-
5-2. 管理対象となるMacでの登録作業 手順6で入力したパスワードと同じ パスワード を入力し、エンターキーを押します
- Macへのログインが成功すれば設定は完了です
7-2. Webログインでの動作確認
- Webログイン画面にて、5-2. 管理対象となるMacでの登録作業 手順4で入力した ユーザー名 または メールアドレス と同じものを入力します
- [続行する]をクリックします
-
5-2. 管理対象となるMacでの登録作業 手順6で入力したパスワードと同じ パスワード を入力します
- [続行する]をクリックします
- Macへのログインが成功すれば設定は完了です
8. MFAの適用
Webログイン時にMFAを用いるためには、OneLoginにてMacへログインを行うユーザーにユーザーポリシーを適用することで実現できます。
MFAの設定手順やユーザーポリシーの割り当てはペンティオヘルプセンター MFAセクションよりご覧ください。
また、弊社ではPassport機能によるWebログインにおいて以下のMFAの動作を確認しております。
- OneLogin Protect
- OneLogin Email
- YubiKey
パスワード入力後に以下のようにMFAを求められれば設定は完了です。
例)OneLogin ProtectでのMFA
9. Passport機能の無効化
-
Iru のログイン画面でテナント名を入力し、ログイン操作を行います
- [Blueprints]をクリックします
-
4-2. Blueprintへの割り当て 手順4で作成した Blueprint をクリックします
- [割り当てを編集]をクリックします
-
4-1. Libraryの設定 手順6で作成した Library をクリックします
-
ゴミ箱 のボタンをクリックします
- [保存]をクリックします
- [保存]をクリックします
- デバイスのロック画面右下にIruのログが表示されないことを確認できれば、Passport機能の無効化は完了です