Passport と OneLogin で問題が発生した場合に使用する一般的なトラブルシューティング手法について説明します
Passport ログインウィンドウでログインするときは、認証セッションがローカル認証ではなく ID プロバイダーに接続されていることを確認するために、ユーザー名フィールドには常に完全なメールアドレスを使用する必要があります。FileVault ログインウィンドウでメールアドレスを使用する際の混乱を避けるため、ログインウィンドウライブラリアイテムの 「ユーザーの表示管理」 ボックスがオフになっていることを確認してください。これについての詳細は、 Passportの互換性の記事をご覧ください。
Kandji Passport 診断
ユーザーが Passport ログインウィンドウでログインできない場合は、キーボードの Command-Shift-K-L を押して Kandji Passport 診断 を起動できます。ID プロバイダー (IdP) からのエラーメッセージなど、役立つ情報が表示されます。
ネットワーク接続
Passport では、ユーザーの資格情報を IdP と照合するためにネットワーク接続が必要です。Passport でログインウィンドウをカスタマイズするときは、必要に応じてユーザーが Wi-Fi ネットワークに接続できるように、ネットワークマネージャーを表示します。ネットワークマネージャーは、macOSのAirMacセキュリティ設定を尊重します。
一般的なOneLoginエラー
Couldn't Communicate(コミュニケーションできませんでした)
Error: Couldn’t communicate with helper application (OneLogin)(エラー:ヘルパーアプリケーション(OneLogin)と通信できませんでした)
解決策: KandjiでURL が正しいことを確認してください。
注:OneLoginの発行者URLは https://<サブドメイン>.onelogin.com/oidc/2/.well-known/openid-configuration です。
MFA is Required(MFAが必要です)
Error: Unauthorized, MFA is required for this user (OneLogin)(エラー: 未承認、このユーザーには MFA が必要です (OneLogin))
問題: お客様は、アプリ ポリシーではなくユーザーポリシーの影響を受けている可能性があります。
解決策: アプリポリシーでMFAを使用して、エンドユーザーがOneLogin で割り当てられたアプリにアクセスするときに MFA を求められるようにし、ユーザーポリシーにMFAを強制しないようにします。ただし、これはOneLoginポータルへのアクセスなど、他の領域のMFAに影響を与える可能性があります。 OneLoginには、OIDC ROPGフローのユーザーポリシーMFA要件を分離する方法がありません。
OneLoginサポートのアプリポリシーの記事へのリンクはこちらです。