シングルサインオン構成
Ivanti Neurons for MDM は拡張可能SSO構成と拡張可能SSO Kerberos構成で拡張可能シングルサインオンを実現します。 実装にはIDプロバイダーのアプリ拡張(Microsoft Authenticatorなど)が必要です。 拡張可能SSO実装により、ユーザーは1回の認証で企業リソースにアクセスできます。 ユーザは、その後のログインで認証を求められません。 想定されている ID プロバイダの設定情報については、IDプロバイダーの構成をご参照ください。
このセクションは以下のトピックを含みます。
シングルサインオンアカウント設定
対象: iOS 7.0以降、Ivanti Neurons for MDMがサポートする最新版まで。
iOSデバイスのマネージドアプリやApple Safariブラウザに関しては、次の設定を使用してKerberosベースの企業SSOを構成してください。
この構成にはTunnelとSentryが必要です。 詳細は「Tunnel for iOS Guide」の「Setting up single sign-on with Kerberos」をご参照ください。
|
設定 |
説明 |
|---|---|
|
名前 |
この構成を識別する名前に入力します。 |
|
説明 |
この構成の目的を明示する説明を入力します。 |
|
ユーザ名 |
Kerberos プリンシパル名を入力します。 |
|
ケルベロスの領域名 |
Kerberos の領域名を入力します。 |
|
証明書 |
iOS 8 でGold ライセンス:ケルベロスの認証情報更新に使用する証明書を選択します。 |
|
URL接頭辞の一致 |
HTTP上でのケルベロス認証にこのアカウントを使用するために一致していなければならないURL接頭辞のリスト。 |
|
SSO対応許可リストアプリケーション |
アプリカタログからアプリを追加して、それらをSSO用に許可リスト化します。 たとえばApple Safariを追加するには「Safari」と入力します。 この種類の構成を使用してSSOを利用できるアプリが許可リストに指定されていない場合は、内蔵のiOSアプリなど、iOS SSOに対応するすべてのアプリがSSOを利用できます。 |
拡張可能シングルサインオンアカウント設定
対象:
-
iOS 13.0以降、Ivanti Neurons for MDMがサポートする最新版まで。
-
macOS 10.15以降、Ivanti Neurons for MDMがサポートする最新版まで。
次の設定を使用して汎用拡張タイプでSSO拡張プロファイルを構成し、さまざまな認証方式によるネイティブアプリとWebサイトのSSOを可能にします。
macOS 10.15.xデバイス用のユーザーチャネルで構成がプッシュされている場合、拡張可能SSOは機能しません。
|
設定 |
説明 |
|---|---|
|
名前 |
この構成を識別する名前に入力します。 |
|
説明 |
この構成の目的を明示する説明を入力します。 |
|
SSOの種類を選択 |
次のSSOタイプから1つを選択します。
|
|
拡張識別子 |
特定のURLにSSOを実行するアプリ拡張のバンドル識別子を入力します。 |
|
チーム識別子 |
アプリ拡張のチーム識別子。 このキーはmacOSで必要となり、他では無視されます。 |
|
カスタムデータ |
1つ以上のカスタムデータをキー/値のペアとして入力します。 |
|
認証方法 (macOS 13以上のみ) |
|
|
登録トークン |
トークンを入力します。 認証方法のいずれかを選択すると、このフィールドが有効になります。 |
拡張可能シングルサインオンKerberosアカウント設定
対象:
-
iOS 13.0以降、Ivanti Neurons for MDMがサポートする最新版まで。
-
macOS 10.15以降、Ivanti Neurons for MDMがサポートする最新版まで。
以下の設定を使用し、Kerberos拡張でSSOを実行するアプリ拡張を構成します。
macOS 10.15.xデバイス用のユーザーチャネルで構成がプッシュされている場合、拡張可能SSO Kerberosは機能しません。
|
設定 |
説明 |
|---|---|
|
基本設定 |
|
|
名前 |
この構成を識別する名前に入力します。 |
|
説明 |
この構成の目的を明示する説明を入力します。 |
|
ユーザ名 |
Kerberos プリンシパル名を入力します。 |
|
領域 |
Kerberos の領域名を入力します。 |
|
証明書 |
Kerberos認証情報の更新に使用する証明書を選択します。 |
|
URL接頭辞 |
HTTP上でのケルベロス認証にこのアカウントを使用するために一致していなければならないURL接頭辞のリスト。 |
|
高度な設定 |
|
| 自動ログインを許可 |
Falseの場合、キーチェーンにパスワードを保存できません。 デフォルトでは有効化されています。 |
| ユーザー設定を遅らせる |
Trueの場合、管理者がアプリSSOツールで有効化する、またはKerberosチャレンジを受信するまで、ユーザーはKerberos拡張機能の設定を指示されません。 このオプションは、macOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
| ユーザープレゼンスが必要 | Trueの場合、キーチェーンエントリにアクセスする際に、ユーザーがTouch ID、Face ID、パスコードのいずれかを入力する必要があります。 |
| 認証情報キャッシュを監視 |
Falseの場合、一致する次のKerberosチャレンジまたはネットワーク状態の変化で認証情報が求められます。 認証情報が期限切れまたは紛失した場合は新しく作成されます。 このオプションは、macOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 デフォルトでは有効化されています。 |
|
キャッシュ名 |
使用するKerberosキャッシュのGeneric Security Service(GSS)名を入力します。 このオプションは廃止されています。 |
|
ドメイン領域マッピング |
領域名をキーとして入力します。 値は領域に対応するDNSサフィックスの文字列です。 [+追加] をクリックして1つまたは複数のキー/値ペアを追加します。 |
|
デフォルト領域 |
複数のKerberos拡張構成がある場合、このプロパティがデフォルト領域を指定します。 |
|
使用サイト自動検出 |
Falseの場合、Kerberos拡張機能が自動的にLDAPとDNSを使用してADサイト名を判断することはありません。 デフォルトでは有効化されています。 |
|
サイトコード |
Kerberos拡張が使用すべきActive Directoryサイト名を入力します。 |
|
複製時間 |
Active Directoryドメイン内の変更を複製するのにかかる秒数を入力します。 Kerberos拡張機能はこれを使用してパスワードの変更禁止期間を確認します。 このオプションは、macOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 このオプションは廃止されています。 |
|
認証情報バンドルID ACL |
[+追加] をクリックし、認証時にTicket Granting Ticket(TGT)にアクセスできるバンドルIDのリストを追加します。 |
|
マネージドアプリをバンドルID ACLに含める |
Trueの場合、Kerberos拡張機能はマネージドアプリのみに認証情報の使用を許可します。 認証情報バンドルID ACLが指定されている場合は、それに追加となります。 このオプションは、iOS 14、またはサポートされている最近のバージョンのIvanti Neurons for MDMに適用されます。 |
|
KerberosアプリをバンドルID ACLに含める |
Trueの場合、Kerberos拡張により、Ticket Viewerやklistなどの標準的なKerberosユーティリティが認証情報にアクセスし、それを使用できるようになります。 macOS 12以降で使用可能。 |
|
カスタムユーザー名ラベル |
「ユーザー名」ではなく、Kerberos 拡張で使用されているカスタム ユーザー名ラベルを入力します。たとえば、「会社 ID」などです。このオプションは、macOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
|
ヘルプテキスト |
Kerberosのログインウィンドウの一番下に表示されるテキストを入力します。 ヘルプ情報または免責事項を表示する目的で使用できます。 このオプションは、iOS 14およびmacOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
|
認証情報使用モード |
この設定は他のプロセスによるKerberos拡張認証情報の使用に影響を与えます。 以下のいずれかを使用してください。
(任意)[LDAPにTLSを要求] を選択します。 |
|
優先されるKerberosキー配布センター
|
優先されるKerberosキー配布センターを追加します。 優先されるKDCを追加するには [+追加] をクリックします。 |
|
プラットフォーム SSO 認証フォールバックを許可 - オンにして、[プラットフォーム SSO TGT を使用] もオンの場合、ユーザーは手動でサインインできます。 macOS 12以降 |
|
|
Kerberos のみを実行 - オンの場合、Kerberos 拡張は Kerberos 要求のみを処理します。 macOS 13以降。 |
|
|
プラットフォーム SSO TGT を使用 - オンの場合、この構成は、新規要求せずに、プラットフォーム SSO の TGT を使用します。 macOS 13以降。 |
|
| パスワード設定 | |
|
パスワード変更を許可 |
Falseの場合、パスワード変更が不可になります。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 デフォルトでは有効化されています。 |
|
パスワード変更URL |
ユーザーがパスワード変更を開始したときにユーザーのデフォルトのWebブラウザで起動するURLを入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
|
パスワードの複雑性を許可 |
Trueの場合、パスワードは、Active Directoryの「複雑さ」の定義を満たしている必要があります。このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
|
Minimum Password Length (パスワードの最小文字数) |
ドメインにおけるパスワードの最小文字数を入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
|
パスワード有効期限切れ通知 |
パスワード有効期限切れの通知がユーザーに送信されてからパスワードの有効期限切れまでの日数を入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 デフォルト値は15日です。 |
|
パスワード有効期限切れオーバーライド |
このドメインでパスワードを使用できる日数を入力します。 ほとんどのドメインでは自動的に計算されます。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 (このオプションは廃止されました) |
|
パスワード要求テキスト |
ドメインのパスワード要件のテキスト版を入力します。 pwReqComplexityまたはpwReqLengthが指定されていない場合にのみ使用します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
|
パスワード履歴数 |
このドメインで再使用できない過去のパスワード数を入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
|
パスワードの最小変更禁止期間 |
このドメインのパスワード変更禁止期間の最小値(日数)を入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
|
ローカルパスワードの同期許可 |
Falseの場合、パスワード同期が不可になります。 ユーザーがモバイルアカウントでログインしている場合は機能しません。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 |
詳細は構成を作成するにはを参照してください。