OneLoginによるPassportの構成

  • hC
  • EF

OneLoginでOpenID Connect(OIDC)アプリケーションを作成し、Passportの設定に使用します

Passport と OneLogin で問題が発生した場合は、 OneLogin でのPassportのトラブルシューティング の記事で詳細をご確認ください。

OneLoginで作成する必要があるOIDCアプリの数は、Passportライブラリアイテムが使用する認証モードによって異なります。

  • OneLoginで多要素認証(MFA)を使用しない場合は 、1つのOIDCアプリ(パスワード同期用)のみを設定する必要があります。  

  • OneLoginで多要素認証(MFA)を使用する場合は、 上記のアプリと、Webログイン認証モード用の追加のOIDCアプリの2つのアプリを作成する必要があります。 

OneLoginで作成する必要があるOIDCアプリの数は、Passportライブラリアイテムが使用する認証モードによって異なります。次の手順を使用して、Passport が Mac のパスワードを OneLogin パスワードと同期させるために使用するアプリを構成します。これは、両方の認証モード(MacログインとWebログイン)で必要です。

作成するOIDCアプリに好きな名前を割り当てることができます。本ドキュメントでは、次の名前を使用しています。

  • Kandji Passport Macログイン

  • Kandji Passport Webログイン

OneLoginのサポート記事「アプリ管理の概要」によると、アプリを追加するには、スーパーユーザーまたはアカウントオーナーの権限を持つOneLoginアカウントを使用する必要があります。

すでにKandji Passport の最初の設定を構成している場合は、「Kandji Passport Web Login の OIDC アプリを構成する」セクションに直接進むことができます。

Kandji Passport Macログイン用のOIDCアプリを構成する

次の手順を使用して、Passport が Mac のパスワードを OneLogin パスワードと同期させるために使用するアプリを構成します。これは、両方の認証モード(MacログインとWebログイン)で必要です。

  1. アカウント所有者またはスーパーユーザーとしてOneLoginにログインします。

  2. OneLogin管理コンソールで、[ アプリケーション ]ページに移動します。 

  3. 右上隅の [アプリの追加] をクリックします。  

  4. 左上隅の検索フィールドに「OIDC」と入力します。

  5. OpenId Connect (OIDC) を選択します。  

  6. [表示名] フィールドに、「Kandji Passport Mac ログイン」などのわかりやすい名前を入力します。

  7. [ ポータルに表示 ]スイッチをクリックして [オフ ]の位置に移動させます。Passportが機能するためにこのアプリが表示される必要はなく、OneLoginポータルでこのアプリを表示するとユーザーが混乱する可能性があるためです。

  8. 「保存」をクリックします。  

  9. 左のサイドバーで、[Configuration(構成)]をクリックします。  

  10. 「リダイレクト URI」の フィールドに、次のように入力します。

    https://localhost.redirect

     

    注: Passport ではこの値は必要ありませんが、リダイレクト URI のフィールドに値がないと、アプリの構成を保存することはできません。 

  11. 左のサイドバーで、[SSO]をクリックします。

  12. 「アプリケーションタイプ」メニューをクリックし、「ネイティブ」を選択します。

  13. 「トークンエンドポイント」メニューをクリックし、「なし (PKCE)」を選択します。

  14. 「保存」をクリックします。 

  15. この OIDC アプリの値を保存するために使用できる安全なテキストドキュメントを開きます。Passport ライブラリアイテムを構成する際、クライアント ID と発行者 URL の詳細が必要になります (クライアントシークレットは必要ありません)。

  16. [クライアント ID] フィールドの右側にある [クリップボードにコピー] ボタン (クリップボードのように見えます) をクリックします。

  17. クライアント ID を安全なテキストドキュメントに貼り付けます。

  18. [Well-known Configuration] リンクを右クリック (または Control キーを押しながらクリック) し、その値をコピーします。 

    注: 発行者 URL には、この OIDC アプリの既知の構成の開始が含まれており、次のパターンが使用されます。

    https://<サブドメイン>.onelogin.com/oidc/2/.well-known/openid-configuration

  19. 発行者URLをセキュアテキストドキュメントに貼り付けます。

  20. セキュアテキストドキュメントを保存します。

  21. OneLoginで、Passportを使用してMacコンピュータにログインするユーザまたはグループにアプリケーションを割り当てます。

  22. Kandji Passport Webログインを使用している場合は、次のセクションに進んでください。それ以外の、Kandji Passport Web ログインを使用していない場合は、Kandji Webアプリに移動して Passportライブラリアイテムを構成します


Kandji Passport Webログイン用のOIDCアプリを構成する

Passport が使用する POST OIDC アプリを設定して、ユーザーが Mac にログインするときに追加の認証要素を入力できるようにします。

  1. OneLogin管理コンソールで、[アプリケーション]ページに移動します。

  2. 右上隅の [アプリの追加] をクリックします。

    注: [アプリの追加] ボタンが表示されない場合は、以前に [新しいアプリの一覧を表示] をクリックした可能性があります。OneLoginで[アプリの追加]ボタンを表示するには、URLから文字列 /admin2 を削除します。たとえば、 https://accuhive.onelogin.com/admin2/apps の代わりに https://accuhive.onelogin.com/apps を使用します。

  3. 左上隅の検索フィールドに「OIDC」と入力します。

  4. [OpenID Connect (OIDC)] を選択します 

  5. 「表示名」フィールドに、 Kandji Passport Web ログインなどのわかりやすい名前を入力します。

  6. [ポータルに表示]スイッチをクリックして [オフ ]の位置に移動させます。Passportが機能するためにこのアプリが表示される必要はなく、OneLoginポータルでこのアプリを表示するとユーザーが混乱する可能性があります。 

  7. 「保存」をクリックします。

  8. 左のサイドバーで、[Configuration(構成)]をクリックします。

  9. 「リダイレクト URI」の フィールドに、次のように入力します。

    https://localhost.redirect

  10. 左のサイドバーで、[SSO]をクリックします。

  11. 「アプリケーションタイプ」メニューをクリックし、「ネイティブ」を選択します。

  12. 「トークンエンドポイント」セクションで、「認証方法」メニューをクリックし、「POST」を選択します。 

  13. 「保存」をクリックします。

  14. この OIDC アプリの値を保存するために使用できる安全なテキストドキュメントを開きます。この POST アプリのクライアント ID とクライアントシークレットは、Passport ライブラリアイテムを構成するときに必要になります。以前の OIDC アプリの構成から安全なドキュメントを既に開いている場合は、新しい値が Web ログイン認証モードの OIDC アプリ用であることを示すメモを追加します。

  15. [クライアント ID] フィールドの内容をコピーします。

  16. クライアント ID を安全なテキストドキュメントに貼り付けます。

  17. クライアントシークレットの表示」をクリックします。

  18. クライアントシークレットをコピーします。

  19. クライアントシークレットを安全なテキストドキュメントに貼り付けます。

  20. 安全なドキュメントを保存します。

  21. OneLoginで、認証モードがWebログインに設定されたPassportライブラリアイテムを使用してMacコンピュータにログインするためにPassportを使用するユーザまたはグループにアプリケーションを割り当てます。

OneLoginのIDプロバイダーグループによるユーザーアカウントタイプの設定

ユーザーを標準ユーザーと管理者ユーザーのどちらにするかを設定する場合は、次の手順に従う必要があります。
1. OneLoginコンソールにログインします。[ユーザー>ロール]を選択します

2. 画面右上の「新規ロール」を選択し、ロールに名前を付けます。 (ロール名が、Kandji Passport 設定で使用している IDP グループ名と一致していることを確認してください)。 下記の例では、Passport Admin Users を使用しました。最後に、OneLoginで作成したKandji Passportアプリを選択し、画面の右上にある[保存]をクリックします。

3.次に、OneLoginで作成したKandjiPassportアプリに移動します。 パラメータリンクを選択し、[グループ]フィールドをクリックします。

4. 「Default if no value selected」セクションで、ドロップダウンリストから「User Roles」を選択し、「Semicolon Delimited Input」が選択されていることを確認します。 「保存」をクリックします。

5.最後に、ユーザーが作成しているロールの一部であり、OneLoginのKandjiPassportアプリケーションのメンバーであることを確認します。 ユーザーをロールに追加するには、Users>Roles>Passport Admin Users を選択し、例として[Users] リンクを選択してユーザーを検索し、青いチェック ボックスをクリックし、[Add to Role] リンクをクリックして、ページの右上にある [Save] をクリックする必要があります。

6.これは、上記で作成したロールを使用して管理者ユーザーを作成している場合のPassportライブラリアイテムの見本です。

OneLoginの設定が完了したら、Kandjiウェブアプリに移動して Passportライブラリアイテムを設定します

Passport と OneLogin に関する問題のトラブルシューティング

Passport と OneLogin で問題が発生した場合は、 OneLogin でのパスポートのトラブルシューティング の記事で追加情報をお読みください。