IDプロバイダとの接続プロファイル
MobiControlサーバが、IDプロバイダのサーバにアクセス接続するための、接続プロファイルを作成します。
この接続を経て、両方のサーバ間での信頼関係を確立できるようになります。
IDプロバイダは、SAML2.0(Security Assertion Markup Language 2.0)の仕様に従っていることを前提としています。 Azure IdP、Okta、Ping Federateなどがそれです。A. 事前準備
(図1)は、IDプロバイダとの接続プロファイル作成のためのダイアログです。 (図1)の表示方法は、「E.プロバイダの接続プロファイル設定画面の表示方法」を参照ください。
- IDプロバイダ側で、SP(Service Provider)の1つとして、MobiControlを追加する作業を実施します。
例えば、IDプロバイダがAzure IdPの場合は、Microsoftの次の文書に、その方法が記述されています。
「 チュートリアル:Azure Active DirectoryとMobiControl の統合」- MobiControlコンソールから、IDプロバイダのサーバにアクセスして、そのメタデータをダウンロードします。
例えば、IDプロバイダがAzure IdPの場合は、Microsoftの次の文書に、その方法が記述されています。
「 フェデレーション メタデータ」- (図1)の
のリンクをクリックして、 MobiControlサーバからメタデータファイルをダウンロードします。
- (図1)の
のリンクをクリックして、 MobiControlサーバからIdP証明書(拡張子 .cer)をダウンロードします。
(図1)
B. IDプロバイダとの接続プロファイルへの入力
(図1)への入力及びファイルのインポートを行います。
(図1)の項目 説明 名前 接続プロファイルに任意の名前を入力します。端末登録ルールの作成プロセスで、この名前を参照します。 IdPメタデータファイル 「インポート」のボタンを押すと、コンソール・コンピュータのExploreがポップアップします。 「A.事前準備」の b項でダウンロードしたファイルを指定し、接続プロファイルにインポートします。 IdPメタデータURL IDプロバイダサーバから、そのメタデータをダウンロードするためのURLを入力します。 その上で、右端の「更新」ボタンを押します。もし、IdPメタデータファイルのインポートを実行しておけば、この欄でのURLの入力は不要です。 IdPエンティティID IdPエンティティIDを入力します。IdPエンティティIDは、IDプロバイダの管理者から開示して貰います。 IdPエンティティIDは、一意性のあるIDです。
IdP URL IDプロバイダのサーバのSSO(Single Sign On)URLを入力します。
ログアウト URL ユーザが、MobiControlサーバからログアウトするとリダイレクトされるURLを入力します。
これはオプション機能です。 この欄が空欄ならデフォルトのURLにリダイレクトされます。
ユーザが、IDプロバイダでの認証を経て、セルフサービスポータルまたはMobiControlコンソールにログインしたときに適用されます。 これらのMobiControlのサービスの利用後に、ログアウトしますが、そのログアウト後のリダイレクト先のURLになります。
MobiControlは、SLO(Single Log Out)をサポートしていません。証明書 「追加」ボタンを押します。Exploreがポップアップします。「A.事前準備」のd.項でダウンロードした証明書ファイルを選択します。 この証明書欄に表示されます。 元のグループ MobiControlが入手するユーザ属性の提供元を指定します。 MobiControlサーバが、「ディレクトリサービス」サーバと接続できるネットワーク環境なら、「ディレクトリ」を選択します。 そして、ディレクトリサービスからユーザ属性を入手します。
MobiControlサーバが、「ディレクトリサービス」サーバに接続できないネットワーク環境にあるなら、「IdP」を選択します。 そして、「IDプロバイダ」から、ユーザ属性を入手します。ディレクトリ 上の選択肢で「ディレクトリ」を選択した場合は、どのディレクトリサービスへの接続プロファイルを 使って、MobiControlサーバがディレクトリサービスに接続するかを選択します。 右端をプルダウンすると、ディレクトリサービスへの接続プロファイルのリストが現れるので、 その中から1つを選択します。 IDプロバイダから得るユーザ属性 上の選択肢で、「IdP」を選択すると、(図1)の下部は、(図2)のように遷移します。 各々の情報の定義を入力します。その定義については、ID プロバイダの管理者に問い合わせてください。 (図2)
MobiControlは、HTTP-POST binding方式を採用しています。 つまり、端末側から最初にアクセスするのは、MobiControlサーバ(Service Provider)であり、これのリダイレクト指示を 受けて、端末は、IDプロバイダにアクセスする方式です。C. 認証サービスとMobiControlの機能
MobiControlの端末が認証を受ける認証サービスには、IDプロバイダ以外に、ディレクトリサービスがあります。 これらに対応するMobiControl機能との関係を、次表に示します。
ディレクトリサービス IDプロバイダ
(Azure IdP、Okta、PingFederateなど)オンプレミス Azure AD iPhone、iPad、Android、macOS
- 端末登録時の認証
- 端末の共用 注1
- 構成プロファイルへの埋め込み 注2
Windows Modern 端末登録時の認証 構成プロファイルへの埋め込み 注2 セルフサービスポータル コンソールへのログイン認証
- 注1 端末の共用
1台の端末を、異なる部門のユーザ間で共用する機能。認証サービスによる認証を得ることで、端末ユーザを変えることができる。端末ユーザが変わると、 端末の設定やアプリなどを、自動切換えできる。- 注2 構成プロファイルへの埋め込み
メール、WiFi、VPNなどの構成プロファイルに端末ユーザのUPNやメールアドレスを自動的に埋め込んでから、端末に配布する機能。端末ユーザが、これらの設定操作をする必要がなくなる。ディレクトリサービスによる認証を採用する場合には、ディレクトリサービスとの接続プロファイルを作成する必要があります。 詳しくは、「ディレクトリサービスとの接続プロファイル」のページを参照ください。D. IDプロバイダによる認証の必要性
端末は、端末登録ルールの指定によって、MobiControlに登録されます。端末登録ルールの設定選択肢として、認証サービスによる認証を経てからのみ、登録を可能とすることができます。 認証サービスは、「ディレクトリ・サービス」と「IDプロバイダ」に大別されます。D-1. Active DirectoryのUPNやメールアドレスを構成プロファイルに埋め込んでから端末に配布
MobiControlサーバは、Exchangeメールの構成プロファイルを、端末に送ります。端末での設定作業を無くすためです。その 構成プロファイルには、端末ユーザのメールアドレスを埋め込んで送ります。 MobiControlサーバは、ディレクトリサービスであるActive Directoryから、IDプロバイダ経由で、各ユーザのメールアドレスを取得します。 Active Directoryによる認証を必要とする、WiFiやVPNがあります。MobiControlサーバは、各端末に向けて、WiFiやVPNの構成プロファイルを送り、端末ユーザの設定作業を軽減します。 その構成プロファイルには、各端末ユーザ毎のActive DirectoryのUPN(User Principal Name)を埋め込んで、端末に配布します。 MobiControlサーバは、Active Directoryから、IDプロバイダ経由で、UPNを取得します。D-2. イントラネットの外にある端末では
「ディレクトリ・サービス」が、イントラネット内にある一方、端末がイントラネットの外にある場合、端末はその認証を得るのが困難な場合があります。
この場合は、「IDプロバイダ」による認証を得ることにします。(図3)
端末は、SAML AssertionをMobiControlに提示し、登録作業を実行
D-3. ディレクトリサービスにも、MobiControlサーバにもアクセスできるネットワーク環境なら
もし、端末が、ディレクトリサービスにも、MobiControlサーバにも、アクセスできるネットワーク環境にあれば、ディレクトリサービスの認証を経て、MobiControlへの登録ができます。
登録が終われば、端末は、認証手続きなしで、MobiControlとの定期的チェックインを自動的に行い、コマンドやデータやファイルの送受を行うことが できるようになります。 従って、登録が終われば、端末をイントラネットの外に持ち出しても、MobiControlとのコマンドやデータやファイルの送受を行うことができます。MobiControlによる管理を遂行できます。 この場合は、IDプロバイダは必須ではなくなります。
逆に言えば、端末が、ディレクトリサービスと、MobiControlサーバの両方にはアクセスできないネットワーク環境で、MobiControlに登録する場合は、ディレクトリサービスの出番になります。D-4. イントラネット外で、端末ユーザを変更する場合には
端末を、複数のユーザで、共用することがあります。その際、ユーザが変わるたびに、認証サービスによる認証を受けます。 ディレクトリサービスにアクセスできないネットワーク環境で、このユーザ変更を行なうこともありえます。この場合は、IDプロバイダによる認証が必要となります。
端末は、端末ユーザの所属する部門(端末グループ)毎に、異なる設定となっています。 設定とは、(カメラ使用可否などの)セキュリティ設定、VPNやメールアカウント、更には 業務アプリなどです。MobiControl v14.4以上では、ユーザが変わると、これらの設定も自動変更させることができます。 この設定の自動変更ができることで、端末の共用を実現させます。MobiControlへの登録を維持したままで、ユーザ変更に伴う設定変更を行います。D-5. セルフサービスポータルにアクセス
端末を紛失した場合などでは、端末ユーザは、他のデバイスを使って、セルフサービスポータルにアクセスできます。 紛失した端末の地理的位置を把握できます。紛失端末の画面にメッセージ表示をし、コンタクト先の電話番号を表示できます。 リモートからの初期化(Wipe)も可能です。
夜間や週末に、MobiControl管理者を呼び出す必要がありません。詳しくは、セルフサービスポータル を参照ください。
セルフサービスポータルへのログインには、ディレクトリサービスまたはIDプロバイダによる認証を必要とします。 セルフサービスポータルへログインするのに使うデバイスが、ディレクトリサービスにアクセスできないネットワーク環境にある場合は、IDプロバイダによる認証を実施します。D-6. MobiControlコンソールへのログインに2段階認証を
MobiControlコンソールへのログインには、認証サービスによる認証を経るよう設定できます。「 F. IDプロバイダのユーザグループを、コンソール管理者グループとして登録」を 参照ください。IDプロバイダは、その製品によっては、2段階認証を要求するオプションがあります。このようなIDプロバイダを採用すれば、コンソールへのログインに、2段階認証を必須とすることが できます。E. IDプロバイダの接続プロファイル設定画面の表示方法
コンソール画面の左上の三本線アイコンをクリックすると、(図4)のメニュー画面が現れます。
(図4)
(図4)の「システム中枢の設定」を選択すると、画面が遷移します。
その画面の左下は(図5)のように表示されます。(図5)
(図5)で、「識別プロバイダーの設定」の行の右端のレンチマークをクリックします。
ポップアップした画面の下辺で、「新規」タブを押すと、画面が(図1)のように遷移します。 MobiControlのバージョンによっては、「識別プロバイダーの設定」の替わりに、「「識別プロバイダー接続」または 「IdP接続」の表示になっていることもあります。F. コンソール管理者の本人認証を、IDプロバイダで
(図5)で、「コンソールセキュリティ設定」の行の右端のレンチマーク
(図6)がポップアップします。(図6)
「SAML SSO」タブを選び、「SSOを有効」にチェックを入れます。 赤矢印部分をプルダウンすると、(図1)で作成した、IDプロバイダの接続プロファイルの名前のリストが、表示されます。
そのどれかを選択します。前述しましたが、 IDプロバイダの場合は、2段階認証を要求するオプションがあります。このようなIDプロバイダを採用すれば、コンソールへのログインに、2段階認証を必須とすることが できます。G. 端末登録ルールの作成
端末登録ルールの設定選択肢として、認証サービスによる認証を経てからのみ、登録を可能とすることができます。 (図7)は、端末登録ルールの作成プロセスで現れるダイアログの一部です。
「IDプロバイダ」を選択すると、(図7)のようになります。赤矢印部分をプルダウンすると、 (図1)で命名した名前の一覧が表示されます。(図7)
