シングルサインオン構成

Ivanti Neurons for MDM は拡張可能SSO構成と拡張可能SSO Kerberos構成で拡張可能シングルサインオンを実現します。 実装にはIDプロバイダーのアプリ拡張(Microsoft Authenticatorなど)が必要です。 拡張可能SSO実装により、ユーザは1回の認証で企業リソースにアクセスできます。 ユーザは、その後のログインで認証を求められません。 想定されている ID プロバイダの設定情報については、IDプロバイダーの構成をご参照ください。

このセクションは以下のトピックを含みます。

シングルサインオンアカウント設定

対象:

  • iOS 7.0以降、Ivanti Neurons for MDMがサポートする最新版まで

  • visionOS 1.1以降、Ivanti Neurons for MDMがサポートする最新版まで。

iOSデバイスのマネージドアプリやApple Safariブラウザに関しては、次の設定を使用してKerberosベースの企業SSOを構成してください。

この構成にはTunnelとSentryが必要です。 詳細は「Tunnel for iOS Guide」の「Setting up single sign-on with Kerberos」をご参照ください。

設定

説明

名前

この構成を識別する名前に入力します。

説明

この構成の目的を明示する説明を入力します。

ユーザ名

Kerberos プリンシパル名を入力します。

ケルベロスの領域名

Kerberos の領域名を入力します。

証明書

iOS 8 でGold ライセンス:ケルベロスの認証情報更新に使用する証明書を選択します。

URL接頭辞の一致

HTTP上でのケルベロス認証にこのアカウントを使用するために一致していなければならないURL接頭辞のリスト。

SSO対応許可リストアプリケーション

アプリカタログからアプリを追加して、それらをSSO用に許可リスト化します。

たとえばApple Safariを追加するには「Safari」と入力します。

このタイプの構成を使用してSSOを利用できるアプリが許可リストに指定されていない場合は、内蔵のiOSアプリなど、iOS SSOに対応するすべてのアプリがSSOを利用できます。

拡張可能シングルサインオンアカウント設定

対象:

  • iOS 13.0以降、Ivanti Neurons for MDMがサポートする最新版まで。

  • macOS 10.15以降、Ivanti Neurons for MDMがサポートする最新版まで。

  • visionOS 1.1以降、Ivanti Neurons for MDMがサポートする最新版まで。

次の設定を使用して汎用拡張タイプでSSO拡張プロファイルを構成し、さまざまな認証方式によるネイティブアプリとWebサイトのSSOを可能にします。

macOS 10.15.xデバイス用のユーザチャネルで構成がプッシュされている場合、拡張可能SSOは機能しません。

設定

説明

名前

この構成を識別する名前に入力します。

説明

この構成の目的を明示する説明を入力します。

SSOのタイプを選択

次のSSOタイプから1つを選択します。

  • 認証情報

    • アプリ拡張を通じて認証可能なホスト名またはドメイン名を1つ以上入力します。 ホストまたはドメイン名は大文字小文字の違いがあっても一致と見なされます。インストールされたすべての拡張可能SSOペイロードのすべてのホスト/ドメイン名に重複は許可されません。 「.」で始まるホストはワイルドカードサフィックスであり、すべてのサブドメインに一致します。それ以外のホストは完全な一致である必要があります。

    • 領域名を入力します。 この値の大文字と小文字は適切に使用してください。

  • リダイレクト

    • アプリ拡張がSSOを実行するIDプロバイダーのURL接頭辞を1つ以上入力します。 URLはhttp://またはhttps://で始まる必要があり、スキームとホスト名は大文字小文字の違いがあっても一致と見なされます。クエリパラメータとURLフラグメントは許可されません。インストールされているすべての拡張可能SSOペイロードのURLに重複は許可されません。

拡張識別子

特定のURLにSSOを実行するアプリ拡張のバンドル識別子を入力します。

チーム識別子

アプリ拡張のチーム識別子。

このキーはmacOSで必要となり、他では無視されます。

カスタムデータ

1つ以上のカスタムデータをキー/値のペアとして入力します。

認証方法

(macOS 13以上のみ)

  • パスワード

  • ユーザ Secure Enclave キー

登録トークン

トークンを入力します。

認証方法のいずれかを選択すると、このフィールドが有効になります。

画面ロックの動作

(iOS 15.0+以上およびmacOS 12.0以上のデバイス)

以下のオプションから1つ選択してください:

  • 取り消し:画面がロックされている場合、システムは認証要求を取り消します。

  • 扱わない:画面がロックされている場合、認証要求はSSOなしで続行されます。

拒否されたバンドル識別子

(iOS 15.0+以上およびmacOS 12.0以上のデバイス)

この拡張によって提供されるSSOを使用しないアプリの複数のバンドル識別子を追加します。 例:com.company.appname.www

対象:macOS 14.0以降、Ivanti Neurons for MDMがサポートする最新版まで。

設定

説明

アカウントの表示名

通知および認証要求で表示されるアカウントの名前を入力します。

追加のグループ

管理者アクセス権を持たせないグループの名前を入力します。

管理者グループ

管理者アクセス権のあるグループの名前を入力します。

認証方法

ドロップダウンリストから認証方法を1つ選択します。

  • パスワード

  • ユーザ Secure Enclave キー

  • スマートカード

認証グループ

グループ名の認証権限を入力します。

認証を有効化

管理者グループ、認証グループ、または追加のグループに対する認証プロンプトを有効にするには、このチェックボックスを選択します。

ログイン時のユーザの作成を有効化

認証方法としてパスワードまたはスマートカードを使用することにより、ログイン時の新規ユーザの作成を有効にするには、このチェックボックスを選択します。

ログイン頻度

システムが再読み込みではなく完全なログインを要求するまでの期間(秒)。

デフォルト値は64,800(18時間)です。 最小値は3600(1時間)です。

新規ユーザ認証モード

ドロップダウンリストから、新規ユーザの認証モードを1つ選択します。

  • 標準:アカウントは標準ユーザ用です。

  • 管理者:アカウントはローカル管理者のグループに追加されます。

  • グループ:新規ユーザは自動的に管理者グループ、認証グループ、または追加のグループの下にグループ化されます。

トークンとユーザのマッピング

新規ユーザのアカウント名とフルネームを入力して、それらを認証用にマップします。

ユーザ認証モード

ドロップダウンリストから、ユーザの認証モードを1つ選択します。

  • 標準:アカウントは標準ユーザ用です。

  • 管理者:アカウントはローカル管理者のグループに追加されます。

  • グループ:新規ユーザは自動的に管理者グループ、認証グループ、または追加のグループの下にグループ化されます。

共有デバイスキーを使用

すべてのユーザに対して同じログインと暗号化キーを有効にするには、このチェックボックスを選択します。

対象:macOS 15.4以降、Ivanti Neurons for MDMがサポートする最新版まで。

設定

説明

デバイス識別子認証を許可

デバイスのUDIDとシリアル番号をプラットフォームSSO認証に含めて、登録済みデバイスのバックエンド追跡を可能にするには、このチェックボックスを選択します。

対象:macOS 14.0以降、Ivanti Neurons for MDMがサポートする最新版まで。

拡張可能シングルサインオンアカウント設定を表示するには、[認証方法] フィールドでドロップダウンオプション [パスワード] を選択します。

設定

説明

FileVault ポリシー

ポリシーを有効にして、以下の設定を表示します。

  • 認証を試行

  • 認証が必要

    追加の構成設定を有効にするには、[認証が必要] チェックボックスを選択します。

  • オフライン猶予期間を許可する

  • 認証猶予期間を許可する

ログイン ポリシー

ポリシーを有効にして、以下の設定を表示します。

  • 認証を試行

  • 認証が必要

    追加の構成設定を有効にするには、[認証が必要] チェックボックスを選択します。

  • オフライン猶予期間を許可する

  • 認証猶予期間を許可する

ロック解除ポリシー

ポリシーを有効にして、以下の設定を表示します。

  • 認証を試行

  • 認証が必要

    追加の構成設定を有効にするには、[認証が必要] チェックボックスを選択します。

  • オフライン猶予期間を許可する

  • 認証猶予期間を許可する

  • TouchID を許可するかロック解除を監視する

認証猶予期間

未登録のローカルアカウントを使用するには、ポリシーを1つ選択した後、時間の長さを入力します。

いずれかのポリシーで [認証猶予期間を許可する] チェックボックスを選択した場合は、それが必須フィールドになります。

オフライン猶予期間

プラットフォームへのSSOログインが成功した後、オフラインローカルアカウントのパスワードを使用するには、ポリシーを1つ選択した後、時間の長さを入力します。

いずれかのポリシーで [オフライン猶予期間を許可する] チェックボックスを選択した場合は、それが必須フィールドになります。

非プラットフォーム SSO アカウント

FileVaultポリシー、ログインポリシー、またはロック解除ポリシーの対象外となるユーザ名のリストを入力するには、[+ 追加] を選択します。

拡張可能シングルサインオンKerberosアカウント設定

対象:

  • iOS 13.0以降、Ivanti Neurons for MDMがサポートする最新版まで。

  • macOS 10.15以降、Ivanti Neurons for MDMがサポートする最新版まで。

  • visionOS 1.1以降、Ivanti Neurons for MDMがサポートする最新版まで。

以下の設定を使用し、Kerberos拡張でSSOを実行するアプリ拡張を構成します。

macOS 10.15.xデバイス用のユーザチャネルで構成がプッシュされている場合、拡張可能SSO Kerberosは機能しません。

設定

説明

基本設定

名前

この構成を識別する名前に入力します。

説明

この構成の目的を明示する説明を入力します。

ユーザ名

Kerberos プリンシパル名を入力します。

領域

Kerberos の領域名を入力します。

証明書

Kerberos認証情報の更新に使用する証明書を選択します。

URL接頭辞

HTTP上でのケルベロス認証にこのアカウントを使用するために一致していなければならないURL接頭辞のリスト。

高度な設定

自動ログインを許可

Falseの場合、キーチェーンにパスワードを保存できません。

デフォルトでは有効化されています。
ユーザ設定を遅らせる

Trueの場合、管理者がアプリSSOツールで有効化する、またはKerberosチャレンジを受信するまで、ユーザはKerberos拡張機能の設定を指示されません。 このオプションは、macOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。
ユーザプレゼンスが必要 Trueの場合、キーチェーンエントリにアクセスする際に、ユーザがTouch ID、Face ID、パスコードのいずれかを入力する必要があります。
認証情報キャッシュを監視

Falseの場合、一致する次のKerberosチャレンジまたはネットワーク状態の変化で認証情報が求められます。 認証情報が期限切れまたは紛失した場合は新しく作成されます。 このオプションは、macOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

デフォルトでは有効化されています。

キャッシュ名

使用するKerberosキャッシュのGeneric Security Service(GSS)名を入力します。 このオプションは廃止されています。

ドメイン領域マッピング

領域名をキーとして入力します。 値は領域に対応するDNSサフィックスの文字列です。

[+追加] をクリックして1つまたは複数のキー/値ペアを追加します。

デフォルト領域

複数のKerberos拡張構成がある場合、このプロパティがデフォルト領域を指定します。

使用サイト自動検出

Falseの場合、Kerberos拡張機能が自動的にLDAPとDNSを使用してADサイト名を判断することはありません。

デフォルトでは有効化されています。

サイトコード

Kerberos拡張が使用すべきActive Directoryサイト名を入力します。

複製時間

Active Directoryドメイン内の変更を複製するのにかかる秒数を入力します。 Kerberos拡張機能はこれを使用してパスワードの変更禁止期間を確認します。 このオプションは、macOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 このオプションは廃止されています。

認証情報バンドルID ACL

[+追加] をクリックし、認証時にTicket Granting Ticket(TGT)にアクセスできるバンドルIDのリストを追加します。

マネージドアプリをバンドルID ACLに含める

Trueの場合、Kerberos拡張機能はマネージドアプリのみに認証情報の使用を許可します。 認証情報バンドルID ACLが指定されている場合は、それに追加となります。 このオプションは、iOS 14、またはサポートされている最近のバージョンのIvanti Neurons for MDMに適用されます。

KerberosアプリをバンドルID ACLに含める

Trueの場合、Kerberos拡張により、Ticket Viewerやklistなどの標準的なKerberosユーティリティが認証情報にアクセスし、それを使用できるようになります。 macOS 12以降で使用可能。

カスタムユーザ名ラベル

「ユーザ名」ではなく、Kerberos 拡張で使用されているカスタム ユーザ名ラベルを入力します。たとえば、「会社 ID」などです。このオプションは、macOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

ヘルプテキスト

Kerberosのログインウィンドウの一番下に表示されるテキストを入力します。 ヘルプ情報または免責事項を表示する目的で使用できます。 このオプションは、iOS 14およびmacOS 11から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

認証情報使用モード

この設定は他のプロセスによるKerberos拡張認証情報の使用に影響を与えます。 以下のいずれかを使用してください。

  • 常時(デフォルト) - サービスプリンシパル名(SPN)がKerberos拡張ホストの文字列に一致すれば、拡張認証情報が常に使用されます。 呼び出し側のアプリがcredentialBundleIDACLにない場合は認証情報が使用されません。

  • 指定がない場合 - 呼び出し側によって別の認証情報が指定されておらず、SPNがKerberos拡張ホスト文字列に一致する場合のみ、この認証情報が使用されます。 呼び出し側のアプリがcredentialBundleIDACLにない場合は認証情報が使用されません。

  • Kerberosのデフォルト - 認証情報を選択するデフォルトのKerberosプロセスが使用され、通常はデフォルトのKerberos認証情報が使用されます。 この機能をオフにするのと同じです。

(任意)[LDAPにTLSを要求] を選択します。

優先されるKerberosキー配布センター

 

 

 

優先されるKerberosキー配布センターを追加します。

優先されるKDCを追加するには [+追加] をクリックします。

プラットフォーム SSO 認証フォールバックを許可 - オンにして、[プラットフォーム SSO TGT を使用] もオンの場合、ユーザは手動でサインインできます。 macOS 12以降

Kerberos のみを実行 - オンの場合、Kerberos 拡張は Kerberos 要求のみを処理します。 macOS 13以降。

プラットフォーム SSO TGT を使用 - オンの場合、この構成は、新規要求せずに、プラットフォーム SSO の TGT を使用します。 macOS 13以降。

パスワードモードへの切り替えを構成

オンの場合、ユーザはユーザインターフェイスをパスワードモードに切り替えることができます。 macOS 15以降。

スマートカードモードへの切り替えを構成

オンの場合、ユーザはユーザインターフェイスをスマートカードモードに切り替えることができます。 macOS 15以降。

スマートカードモードでの開始を構成

オンの場合、ユーザインターフェイスはスマートカードモードで起動します。 macOS 15以降。

ID発行者自動選択フィルター

利用可能なスマートカードのリストを絞り込みます。 macOS 15以降。
パスワード設定

パスワード変更を許可

Falseの場合、パスワード変更が不可になります。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

デフォルトでは有効化されています。

パスワード変更URL

ユーザがパスワード変更を開始したときにユーザのデフォルトのWebブラウザで起動するURLを入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

パスワードの複雑性を許可

Trueの場合、パスワードは、Active Directoryの「複雑さ」の定義を満たしている必要があります。このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

Minimum Password Length (パスワードの最小文字数)

ドメインにおけるパスワードの最小文字数を入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

パスワード有効期限切れ通知

パスワード有効期限切れの通知がユーザに送信されてからパスワードの有効期限切れまでの日数を入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

デフォルト値は15日です。

パスワード有効期限切れオーバーライド

このドメインでパスワードを使用できる日数を入力します。 ほとんどのドメインでは自動的に計算されます。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。 (このオプションは廃止されました)

パスワード要求テキスト

ドメインのパスワード要件のテキスト版を入力します。 pwReqComplexityまたはpwReqLengthが指定されていない場合にのみ使用します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

パスワード履歴数

このドメインで再使用できない過去のパスワード数を入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

パスワードの最小変更禁止期間

このドメインのパスワード変更禁止期間の最小値(日数)を入力します。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

ローカルパスワードの同期許可

Falseの場合、パスワード同期が不可になります。

ユーザがモバイルアカウントでログインしている場合は機能しません。 このオプションは、macOS 10.15から、Ivanti Neurons for MDMでサポートされている最新バージョンまで適用されます。

パスワード要件のRTFデータ

RTFファイル形式版の、ドメインのパスワード要件。 macOS 15以降。

pwReqComplexityまたはpwReqLengthが指定されていない場合にのみ使用します。

詳細は構成を作成するにはを参照してください。