⚙️

Okta経由でJamf Proのprofileを配布してみた

2024/12/23に公開

https://qiita.com/advent-calendar/2024/genda

前回、「来年のGENDAのアドベントカレンダーでお会いしましょう!」と書きましたが
https://zenn.dev/genda_jp/articles/a7aca1589c2ad9

というわけで、今回はJamf ProのprofileをOktaで配った話です。
技術的な小ネタですが便利なのと意外と手順調べても出てこなかったので参考にしてもらえると!

目次

  • 1.前提条件
  • 2.profileを配る手法
  • 3.Jamf Pro側の設定
  • 4.Okta側の設定
  • 5.まとめ

1.前提条件

今回の前提条件としては

  • Oktaを導入していること
  • Jamf Proのprofileを配布すること
    になります

2.profileを配る手法

2つ方法があります。

  • 1.Enroll用のユーザーを作成してユーザー名とパスワードをお伝えして入力させて配る
  • 2.SSOを使って認証させて配る

1の手法でも配ることは可能ですが、デメリットとして

  • 誰かがパスワードを間違えてロックされると全員ロックされる
  • 誰がプロファイルをインストールしたかわからない
    ことがあります。

基本的にJamf Proを導入するタイミングは、Mac関連のデバイスの管理が大変になったことから採用することが多いと思いますので、最初から導入されていることはあんまりないのではと思います。
導入するタイミングでOktaなどのIDPはあることもありますので、あれば利用していくと便利です。

2のメリットとしては

  • 特定の人に指定して配れる
  • 誰がprofileをインストールしたかわかる(メールアドレスが記載される)
    ということがあります。

1のようなユーザー名とパスワードではないので、ユーザー側に入力させる手間がなく楽です。

それでは設定していきます。

3.Jamf Pro側の設定

ダッシュボードの設定からシングルサインオンを選択します。

設定内容としてはこのような感じです。
※フェイルオーバーログイン URLをあらかじめ保管しておきましょう

Jamf Pro側は一旦これで最低限の準備は完了です。

4.Okta側の設定

Okta側はアプリケーションを2つ用意する必要があります。

Jamf Pro SAML

通常のJamf Proへのログインについては、
Oktaのアプリカタログであるので基本的には簡単に設定が可能です。
こちらは詳細を省きます。

一旦ここで自分でテストをし、ダッシュボードにログインできるか確認しておきましょう。

Jamf Enroll

今度はEnroll用のアプリケーションを作成します。
こちらはカタログも無いので手動で作成します。

SAMLを選択します。

アプリ名はここではJamf Enrollにします。

設定はこのような形にしています。

当社で作成したアプリにチェックをつけて終了します。

ユーザー側にはJamf Pro SAMLのアプリケーションを見せたく無いので、
"アプリケーションのアイコンをユーザーに表示しない"にチェックします。

上記で設定した2つのアプリケーションを登録して完了です!

5.まとめ

Oktaのダッシュボード経由で配ったのですが、
下記の画面からContinueを押すだけでプロファイルがダウンロードされます。

管理側としてはダッシュボードのインベントリ検索で、登録したコンピュータのユーザーと位置に
メールアドレスが記録されます。
現状、profileを配る時点で棚卸しできていればいいのですが、
このタイミングで誰がどの端末を持っているか確認して実態と合っているかも調査することが可能です。

なお、設定中にJamf Enrollだけで認証されると思ったらエラーになりました。
どうやら/enrollへの前に認証のリダイレクトとかされるかと思ったらそういう仕様でも無いらしく…

なので2つ設定が必要ということがわかり、この辺便利にならないかなと思っています。

今度こそ2024年のGENDAアドベントカレンダーは終わりです!
来年お会いしましょう!!!!

GENDA

Discussion