本記事では、各ユーザーが使用するMac端末を特定し、ユーザーの所属部署や役職に応じたアプリケーションの配布やセキュリティポリシーの適用手順をご紹介します。
本記事では、OneLogin からユーザープロビジョニングで作成された Iru のアカウントと、管理対象のMacを連携するための設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスプラン が Professional または旧ライセンスプラン Unlimited のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Iruの Account Owner または Admin 権限をお持ちであること
- 端末を利用するユーザーに対して Iru - ユーザープロビジョニング が設定済みであること
1. Iru側の設定
1-1. SAMLエンドポイントの設定
-
Iruのログイン画面でテナント名を入力し、ログイン操作を行います
- 左下のユーザーを選択します
- [アクセス]を選択します
- [+ Authentication method]をクリックします
-
Display name にSAML連携で用いる一意の名前を入力します
例)エンロールメント
- [SAML]を選択します
- [Create]をクリックします
-
Service provider entity ID の値をコピーします
-
Assertion consumer service (ACS) URL の値をコピーします
-
Sign SAML Authentication Request のトグルボタンを無効にします
-
Response Signature Verification のプルダウンにて Response を選択します
- [Save]をクリックします
1-2. Blueprintの設定
- [Blueprints]を選択します
- [Blueprintを追加]をクリックします
- [最初から作成]を選択します
-
Blueprint名 に任意の名前を入力します
例)Mac割り当て用
- [Blueprintを作成]をクリックします
2. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Iru エンロールメント (SAML) と検索し、該当コネクタを選択します
-
Visible in portal のトグルボタンを 無効 にします
*本コネクタはOneLoginポータル画面をSSOの起点としないため、ポータル画面でのコネクタ非表示をお勧めいたします
- [Save]をクリックします
-
Configuration タブの Service provider entity ID に1-1. SAMLエンドポイントの設定 手順8でコピーした Service provider entity ID を入力します
- 同様に、Assertion consumer service (ACS) URL に1-1. SAMLエンドポイントの設定 手順9でコピーした Assertion consumer service (ACS) URL を入力します
-
SSO タブへ移動し、SAML Signature Algorithm のプルダウンで SHA-256 を選択します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
-
SSO タブに移動し、Issuer URL をクリップボードへコピーします
-
SAML 2.0 Endpoint (HTTP) をクリップボードへします
-
View Details をクリックします
- [Download]をクリックします
3. Iru側の設定(後半)
3-1. SAMLエンドポイントへのパラメーターの入力
-
Iruのログイン画面でテナント名を入力し、ログイン操作を行います
- 左下のユーザーを選択します
- [アクセス]を選択します
-
1-1. SAMLエンドポイントの設定で設定したSAMLエンドポイントの[︙]をクリックします
-
IdP Entity ID に2. OneLogin側の設定 手順11でコピーした Issuer URL を貼り付けます
-
IdP Single Sign-on URL に2. OneLogin側の設定 手順12でコピーした SAML 2.0 Endpoint (HTTP) を貼り付けます
-
IdP Signature Certificate に2. OneLogin側の設定 手順15でダウンロードした証明書をアップロードします
- [Save]をクリックします
3-2. SAMLエンドポイントのBlueprintへの適用
- [登録]を選択します
- [手動登録]を選択します
*本記事では 手動登録 を解説しますが、自動デバイス登録 を用いることで初めてMacの電源を初めて入れた際、自動的にアプリケーションやセキュリティ設定が構成された状態にすることが可能です。詳しくは自動デバイス登録の設定をご覧ください。
-
登録ポータルのリンク をコピーします
例)https://example.iru.com/enroll
-
1-2. Blueprintの設定で設定した Blueprint をクリックします
- [設定を編集]をクリックします
-
認証が必要 にチェックを入れます
-
接続 のプルダウンで1-1. SAMLエンドポイントの設定で設定したSAML認証を選択します
-
デバイスレコードにユーザを割り当て にチェックを入れます
- [保存]をクリックします
- 6桁の数字をコピーします
例)907726
4. 管理対象Macでのエンロールメント操作
- 管理対象となるMacのブラウザで3-2. SAMLエンドポイントのBlueprintへの適用 手順3でコピーしたリンクを開きます
例)https://example.iru.com/enroll
-
3-2. SAMLエンドポイントのBlueprintへの適用 手順10でコピーした6桁の数字を入力します
例)497571
- [続行]をクリックします
- OneLoginのログインフォームが開くので、デバイスを利用するユーザーの ユーザー名 または メールアドレス を入力します
- [続行する]をクリックします
- 続いて、パスワード を入力します
- [続行する]をクリックします
- [ダウンロード]をクリックします
- ダウンロードが完了したら、Macのシステム設定で一般 > デバイス管理 を開きます
*Macのバージョンの違いにより設定項目の名称や配置が異なる場合がありますのでご注意ください
- [+]をクリックします
- 開いたFinderでダウンロードしたファイルを選択します
- [開く]をクリックします
- [インストール]をクリックします
- Macのパスワードを入力します
- [登録]をクリックします
-
デバイス(管理対象)に新規のアイコンが追加されます。
管理対象Macでのエンロールメント操作は以上です。
5. エンロールメント結果の確認
-
Iru のログイン画面でテナント名を入力し、ログイン操作を行います
-
デバイス メニューを選択します
-
4. 管理対象となるMacでエンロールメントの実施にて登録を行ったMacの デバイス名 を選択します
-
ユーザ にユーザー名が表示されていれば設定は完了です。
エンロールメント結果の確認は以上です。