Jamf ConnectでmacOSログインを
OneLoginから権限付与

macOSログインのユーザー権限をOneLogin内のユーザー権限から伝播させることができます。また、macOS端末のユーザー権限レベルをOneLoginで一元管理することが可能です。本記事ではJamf Connect環境下のmacOS端末に対して実現できることをご紹介しています。

社用端末の管理において、こんな課題はありませんか？

• 在宅勤務者の退社後、使用していた端末をすぐに回収できず、情報漏洩が不安
• 委託先や派遣社員の端末利用状況が見えず、アクセス制御が不十分
• ローカルアカウントの管理が属人化していて、セキュリティポリシーに沿わない

これらの課題を、Jamf ConnectとOneLoginの連携でどう解決できるかをご紹介します。

Jamf Connectとは

macOSのローカルユーザーをIdP（Identity Provider）のユーザー情報と紐付け、IdPの認証情報を用いたmacOS端末への安全なログインを実現するサービスです。

OneLoginとは

6,000以上のサービスにSSO（シングルサインオン）を提供しており、Jamf Connectもその対象の一つです。クラウド上でのユーザー管理に優れており、ユーザーのサービスへのアクセス許可やブロックも数クリックで簡単に行うことができます。 OneLoginについて詳しく知りたい方は、こちらをご覧ください。

Jamf ConnectとOneLoginを連携することで、クラウド上でユーザー認証を一元管理し、macOSへのアクセスを柔軟に制御できます。その結果、退職者や業務委託先のアカウントを即座に無効化し、社用端末への不正アクセスや情報漏洩リスクを効果的に防止できます。

検証概要

今回は以下の2つのテーマで検証を行いました。

1. Jamf ConnectとOneLoginを連携し、専用のロールが割り当てられた有効なOneLoginアカウントのみmacOS端末へのログインを許可する仕組みの検証です。
2. 管理者専用のロールを割り当てられた有効なOneLoginアカウントだけに、macOSへのログイン時にローカル管理者権限を付与する仕組みの検証です。

これらの仕組みを導入することで、退職者や権限が変更された社員のアカウントを無効化または削除したり、OneLogin上でのロール設定を変更したりするだけで、macOS端末へのログインやローカル管理者権限の付与を即座に制御できるようになります。

本記事は、退職者や業務委託先に貸与している社用端末の管理に課題を抱えている方をはじめ、社用端末の不正利用を防ぎたい方、社内デバイス管理の一環として端末へのログインをクラウドで効率的に管理したい方に最適なソリューションをご紹介しています。ぜひ最後までご覧ください。

検証で使用した端末・サービス情報

今回の検証で使用した端末やサービス情報を以下の表に示します。

前提条件

• OneLoginのライセンスがStarter, Enterprise, UnlimitedまたはSSO, Advanced, Professional Pack（新料金体系）であること
• OneLoginのSuper UserまたはAccount Owner権限を持っていること
• Jamf Accountのアカウントを持っていること
• Jamf Connectのライセンスを持っていること
• Jamf Proの管理者権限を持っていること
• 構成プロファイルの検証用の環境を用意していること
• 構成プロファイルの検証用のデバイスがJamf Proの管理下にあること

動作概要

macOSへのログインの流れは以下の通りです。

1. ユーザーがJamf Connectに対してmacOSへのアクセスを要求します
2. Jamf ConnectがOneLoginに対して認証を要求します
3. OneLoginがユーザーに対してログイン情報（ユーザーネーム、パスワードなど）を要求します
4. ユーザーはOneLoginに対してログイン情報を提示します
5. OneLoginは提示されたユーザーの情報と付与されたロールからJamf Connectに認証情報と与える権限の認可情報を応答します
6. Jamf Connectはユーザーに対してmacOSへのログイン可否を応答し、ローカルユーザーに適切な権限を付与します

本記事でご紹介する構成を導入する前後で、macOS端末管理にどのような違いが生まれるのかを、具体的なユースケースでご紹介します。

作業詳細

• OneLoginでユーザーがmacOSにログインできるか、ログイン時に管理者権限を付与するかを、ロールベースで制御できるよう設定を行います。
• Jamf ConnectがOneLoginと連携するための構成ファイル（ログイン・メニューバー）を作成します。
• Jamf Proを用いてJamf Connectで作成した構成プロファイルをJamf Proからクライアント端末に配布し、展開を行えば作業完了です。

OneLoginの設定

OIDCコネクタの作成

1. OneLoginに管理者アカウントでログインしたら、アプリケーション管理画面にアクセスし［Add App］をクリックします

   

   
   

2. アプリケーション検索欄に 【OpenID Connect (OIDC)】 と入力し、OpenID Connect (OIDC) コネクタを選択します

   

3. Display Name に 【Jamf Connect】 と入力し、［Save］ をクリックします

   

4. ［Configurationタブ］に移動し、［Redirect URL's］にリダイレクトURLを入力します（例 :https://127.0.0.1/jamfconnect）

   

5. ［SSOタブ］に移動し、Client IDをコピーとApplication Type、Token Endpointの設定を行います

   

6. ［Accessタブ］ に移動し、任意のロールを選択し［Save］ をクリックします。

   

Jamf Connect連携ユーザーの設定

1. ［New Users］ をクリックします

   

2. 管理下のデバイスを使用するユーザーの情報を入力します。以下の3点は必須項目です
   【First name】、【Last name】、【Username】

   

3. ［Applicationsタブ］をクリックし、OIDCコネクタの作成 の手順6でコネクタを割り当てたロールを選択したら［Save User］ をクリックします。これでユーザーがOneLoginの情報でmacOSにログインできるようになりました。

   

ローカル管理者権限付与ロールの設定

1. ロール管理画面にアクセスし［Add Role］をクリックします

   

2. ロールに名前をつけ、対応させるアプリを選択したら［Save］をクリックします

   

3. Jamf Connectのアプリコネクター設定にアクセスし、［Parametersタブ］に移動したら赤枠のように設定を行い［Save］をクリックします

   

4. ［Rulesタブ］に移動、［Add Rule］をクリックし先ほど作成したロールが割り振られていればmacOSログイン時にローカル管理者権限が適用されるようにルールを設定します。設定が完了したら［Save］をクリックします。

   

以上でOneLoginの設定は完了です。これでロールを適用したユーザーがJamf Connectを使ってmacOSにアクセスできるようになります。

Jamf Connect の設定

Jamf Connect Configuration のインストール

1. Jamf Account にログインし、［解答］ をクリックします

   

2. Jamf Connect の ［詳細を表示］ をクリックします

   

3. ダウンロードタブに移動し、［ダウンロード］ をクリックします

   

4. ダウンロードしたファイルを起動し、指示に従ってインストールを完了します。

構成プロファイルの作成

1. Jamf Connect Configurationを起動し新しい構成を選択、構成の名称を 【Jamf Connect Login】 に変更しアイデンティティはOneLoginを選択します

   ［アイデンティティ］タブの設定は赤枠にOneLoginの情報を入力して完了です。

   

2. ［Login］タブに移動、管理者の役割に【Jamf Connect_Admin（OneLoginで作成したローカル管理者専用ロール名）】、管理者の属性に【groups】を入力し、
   以下の3つのチェックボックスをクリックします。

   項目名	説明
   既存のローカルユーザーをネットワークアカウントに接続してください	既にmacOS内にローカルユーザーが存在した場合、OneLoginユーザーがmacOSに初回ログインを行った際に紐付けを行うことができます。
   ネットワーク認証を常に必要とします	インターネット接続時のみmacOSにログインができます。
   パススルー認証を使用する	本来、Jamf Connectを利用したmacOSへのログインにはローカルとIdPの両方でのパスワード認証が必要ですが、パススルー認証を有効にすることで、IdPの認証のみでログインできるようになります。 対応しているIdPは限られており、OneLoginはその一つです。

   

   

3. FileVaultを有効化する場合は、［最初のユーザーに対して FileVault を有効化する］ のチェックボックスをクリックします

   

4. ［保存］ をクリックします

   

5. 以下の画像のように情報を入力し、［保存］ をクリックします

   

6. ファイルの名前を入力し、［保存］ をクリックします

   

7. ミートボールメニューをクリックし、［重複］ をクリックします

   

8. 新しく作成されたコピーを選択、構成の名称を 【Jamf Connect Menu Bar】 に変更し、［Connect］タブに切り替えテナントにOneLoginのテナントIDを入力します

   

9. ［保存］ をクリックします

   

10. ［Jamf Connect］ と ［Jamf Pro アップロード］ のチェックボックスをクリック、組織名を入力し、［保存］ をクリックします

    

11. ファイルの名前を入力し、［保存］ をクリックします

    

以上でJamf Connectの設定は完了です。これでJamf ConnectはmacOSログイン時にOneLoginの指定したテナントのログインウィンドウを表示してくれます。

Jamf Pro の設定

構成プロファイルの配布

1. Jamf Pro に管理者でログインし、［コンピュータ］>［構成プロファイル］をクリックし、Jamf Connect の設定手順 で作成した Jamf Connect Login をクリックします

   

2. ［編集］>［Scope］>［追加］をクリックします

   

3. 構成プロファイルを配布したいコンピュータの［追加］をクリックし、［保存］をクリックします

   

以上でJamf Proの設定は完了です。これでデバイスの所有者はOneLoginのアカウント情報を用いてmacOSにログイン可能になります。

動作確認

macOS上に既に存在しているローカルアカウントとOneLoginのアカウントを紐づける検証を行いました。
OneLoginのユーザーのUsernameとmacOSのローカルユーザーのアカウント名（ホームディレクトリの名称）、およびが一致しているとログイン後自動でアカウントの紐付けを行います。

以下はOneLoginのアカウントを無効化されたユーザーがmacOSへのアクセスを拒否される動画です。

以下はmacOSの通常ユーザーをローカル管理者に昇格する操作を行う動画になります。

おわりに

今回はJamf ConnectとOneLoginを連携し、「専用のロールが割り当てられた有効なOneLoginアカウントのみmacOS端末へのログインを許可する仕組み」と「管理者専用のロールを割り当てられた有効なOneLoginアカウントだけに、macOSへのログイン時にローカル管理者権限を付与する仕組み」の2つの検証を行いました。
その結果、特定のロールを設定した有効なOneLoginアカウントのみがmacOS端末に正常にログインでき、適切な権限付与が実現できることを確認しました。

従来のmacOSのログイン方式では、誰でも容易にログインが可能でしたが、Jamf ConnectとOneLoginの連携により、許可されたユーザー以外による社用端末へのログインをクラウド上で柔軟に制御できます。さらに、管理者権限の付与を適切に制限することで、外部からの不正アクセスや権限昇格などを防止する、ゼロトラストに基づいた端末運用も実現できます。

安全かつ柔軟なユーザー管理を実現するJamf ConnectとOneLoginの導入を、ぜひ併せてご検討ください。以上で、「Jamf ConnectとOneLoginを連携し、ログイン情報を統合して社用端末へのユーザーログインを制限する」検証レポートを終わります。

＊本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。