IDプロバイダの接続プロファイル

MobiControl v14 Manual


MobiControlサーバが、IDプロバイダのサーバにアクセス接続するための、接続プロファイルを作成します。
この接続を経て、両方のサーバ間での信頼関係を確立できるようになります。
IDプロバイダは、SAML2.0(Security Assertion Markup Language 2.0)の仕様に従っていることを前提としています。 Azure IdP、Okta、Ping Federateなどがそれです。

A. 事前準備

(図1)は、IDプロバイダとの接続プロファイル作成のためのダイアログです。 (図1)の表示方法は、「E.プロバイダの接続プロファイル設定画面の表示方法」を参照ください。
  1. IDプロバイダ側で、SP(Service Provider)の1つとして、MobiControlを追加する作業を実施します。
    例えば、IDプロバイダがAzure IdPの場合は、Microsoftの次の文書に、その方法が記述されています。
    チュートリアル:Azure Active DirectoryとMobiControl の統合
  2. MobiControlコンソールから、IDプロバイダのサーバにアクセスして、そのメタデータをダウンロードします。
    例えば、IDプロバイダがAzure IdPの場合は、Microsoftの次の文書に、その方法が記述されています。
    フェデレーション メタデータ
  3. (図1)ののリンクをクリックして、 MobiControlサーバからメタデータファイルをダウンロードします。
  4. (図1)ののリンクをクリックして、 MobiControlサーバからIdP証明書(拡張子 .cer)をダウンロードします。

(図1)

B. IDプロバイダとの接続プロファイルへの入力

(図1)への入力及びファイルのインポートを行います。
(図1)の項目説明
名前接続プロファイルに任意の名前を入力します。端末登録ルールの作成プロセスで、この名前を参照します。
IdPメタデータファイル 「インポート」のボタンを押すと、コンソール・コンピュータのExploreがポップアップします。 「A.事前準備」の b項でダウンロードしたファイルを指定し、接続プロファイルにインポートします。
IdPメタデータURLIDプロバイダサーバから、そのメタデータをダウンロードするためのURLを入力します。 その上で、右端の「更新」ボタンを押します。もし、IdPメタデータファイルのインポートを実行しておけば、この欄でのURLの入力は不要です。
IdPエンティティIDIdPエンティティIDを入力します。IdPエンティティIDは、IDプロバイダの管理者から開示して貰います。 IdPエンティティIDは、一意性のあるIDです。
IdP URLIDプロバイダのサーバのSSO(Single Sign On)URLを入力します。
ログアウト URL ユーザが、MobiControlサーバからログアウトするとリダイレクトされるURLを入力します。
これはオプション機能です。 この欄が空欄ならデフォルトのURLにリダイレクトされます。
ユーザが、IDプロバイダでの認証を経て、セルフサービスポータルまたはMobiControlコンソールにログインしたときに適用されます。 これらのMobiControlのサービスの利用後に、ログアウトしますが、そのログアウト後のリダイレクト先のURLになります。
MobiControlは、SLO(Single Log Out)をサポートしていません。
証明書 「追加」ボタンを押します。Exploreがポップアップします。「A.事前準備」のd.項でダウンロードした証明書ファイルを選択します。 この証明書欄に表示されます。
元のグループ MobiControlが入手するユーザ属性の提供元を指定します。 MobiControlサーバが、「ディレクトリサービス」サーバと接続できるネットワーク環境なら、「ディレクトリ」を選択します。 そして、ディレクトリサービスからユーザ属性を入手します。
MobiControlサーバが、「ディレクトリサービス」サーバに接続できないネットワーク環境にあるなら、「IdP」を選択します。 そして、「IDプロバイダ」から、ユーザ属性を入手します。

ディレクトリ 上の選択肢で「ディレクトリ」を選択した場合は、どのディレクトリサービスへの接続プロファイルを 使って、MobiControlサーバがディレクトリサービスに接続するかを選択します。 右端をプルダウンすると、ディレクトリサービスへの接続プロファイルのリストが現れるので、 その中から1つを選択します。
IDプロバイダから得るユーザ属性上の選択肢で、「IdP」を選択すると、(図1)の下部は、(図2)のように遷移します。 各々の情報の定義を入力します。その定義については、ID プロバイダの管理者に問い合わせてください。

(図2)

MobiControlは、HTTP-POST binding方式を採用しています。 つまり、端末側から最初にアクセスするのは、MobiControlサーバ(Service Provider)であり、これのリダイレクト指示を 受けて、端末は、IDプロバイダにアクセスする方式です。

C. 認証サービスとMobiControlの機能

MobiControlの端末が認証を受ける認証サービスには、IDプロバイダ以外に、ディレクトリサービスがあります。 これらに対応するMobiControl機能との関係を、次表に示します。

ディレクトリサービスIDプロバイダ
(Azure IdP、Okta、PingFederateなど)
オンプレミスAzure AD
iPhone、iPad、Android、macOS
  • 端末登録時の認証
  • 端末の共用 注1
  • 構成プロファイルへの埋め込み 注2
Windows Modern

端末登録時の認証
構成プロファイルへの埋め込み 注2
セルフサービスポータル
コンソールへのログイン認証
  • 注1 端末の共用
    1台の端末を、異なる部門のユーザ間で共用する機能。認証サービスによる認証を得ることで、端末ユーザを変えることができる。端末ユーザが変わると、 端末の設定やアプリなどを、自動切換えできる。
  • 注2 構成プロファイルへの埋め込み
    メール、WiFi、VPNなどの構成プロファイルに端末ユーザのUPNやメールアドレスを自動的に埋め込んでから、端末に配布する機能。端末ユーザが、これらの設定操作をする必要がなくなる。
ディレクトリサービスによる認証を採用する場合には、ディレクトリサービスとの接続プロファイルを作成する必要があります。 詳しくは、「ディレクトリサービスとの接続プロファイル」のページを参照ください。

D. IDプロバイダによる認証の必要性

端末は、端末登録ルールの指定によって、MobiControlに登録されます。端末登録ルールの設定選択肢として、認証サービスによる認証を経てからのみ、登録を可能とすることができます。 認証サービスは、「ディレクトリ・サービス」と「IDプロバイダ」に大別されます。

D-1. Active DirectoryのUPNやメールアドレスを構成プロファイルに埋め込んでから端末に配布

MobiControlサーバは、Exchangeメールの構成プロファイルを、端末に送ります。端末での設定作業を無くすためです。その 構成プロファイルには、端末ユーザのメールアドレスを埋め込んで送ります。 MobiControlサーバは、ディレクトリサービスであるActive Directoryから、IDプロバイダ経由で、各ユーザのメールアドレスを取得します。

Active Directoryによる認証を必要とする、WiFiやVPNがあります。MobiControlサーバは、各端末に向けて、WiFiやVPNの構成プロファイルを送り、端末ユーザの設定作業を軽減します。 その構成プロファイルには、各端末ユーザ毎のActive DirectoryのUPN(User Principal Name)を埋め込んで、端末に配布します。 MobiControlサーバは、Active Directoryから、IDプロバイダ経由で、UPNを取得します。

D-2. イントラネットの外にある端末では

「ディレクトリ・サービス」が、イントラネット内にある一方、端末がイントラネットの外にある場合、端末はその認証を得るのが困難な場合があります。
この場合は、「IDプロバイダ」による認証を得ることにします。

(図3)

  • 登録のために、端末からMobiControlサーバにアクセス。端末は、IPプロバイダへのリダイレクトの指示を受ける。
  • 端末は、リダイレクト先のIDプロバイダの認証を受け、SAML Assertionを受け取る
  • 端末は、SAML AssertionをMobiControlに提示し、登録作業を実行

D-3. ディレクトリサービスにも、MobiControlサーバにもアクセスできるネットワーク環境なら

もし、端末が、ディレクトリサービスにも、MobiControlサーバにも、アクセスできるネットワーク環境にあれば、ディレクトリサービスの認証を経て、MobiControlへの登録ができます。
登録が終われば、端末は、認証手続きなしで、MobiControlとの定期的チェックインを自動的に行い、コマンドやデータやファイルの送受を行うことが できるようになります。 従って、登録が終われば、端末をイントラネットの外に持ち出しても、MobiControlとのコマンドやデータやファイルの送受を行うことができます。MobiControlによる管理を遂行できます。 この場合は、IDプロバイダは必須ではなくなります。
逆に言えば、端末が、ディレクトリサービスと、MobiControlサーバの両方にはアクセスできないネットワーク環境で、MobiControlに登録する場合は、ディレクトリサービスの出番になります。

D-4. イントラネット外で、端末ユーザを変更する場合には

端末を、複数のユーザで、共用することがあります。その際、ユーザが変わるたびに、認証サービスによる認証を受けます。 ディレクトリサービスにアクセスできないネットワーク環境で、このユーザ変更を行なうこともありえます。この場合は、IDプロバイダによる認証が必要となります。
端末は、端末ユーザの所属する部門(端末グループ)毎に、異なる設定となっています。 設定とは、(カメラ使用可否などの)セキュリティ設定、VPNやメールアカウント、更には 業務アプリなどです。MobiControl v14.4以上では、ユーザが変わると、これらの設定も自動変更させることができます。 この設定の自動変更ができることで、端末の共用を実現させます。MobiControlへの登録を維持したままで、ユーザ変更に伴う設定変更を行います。

D-5. セルフサービスポータルにアクセス

端末を紛失した場合などでは、端末ユーザは、他のデバイスを使って、セルフサービスポータルにアクセスできます。 紛失した端末の地理的位置を把握できます。紛失端末の画面にメッセージ表示をし、コンタクト先の電話番号を表示できます。 リモートからの初期化(Wipe)も可能です。
夜間や週末に、MobiControl管理者を呼び出す必要がありません。詳しくは、セルフサービスポータル を参照ください。
セルフサービスポータルへのログインには、ディレクトリサービスまたはIDプロバイダによる認証を必要とします。 セルフサービスポータルへログインするのに使うデバイスが、ディレクトリサービスにアクセスできないネットワーク環境にある場合は、IDプロバイダによる認証を実施します。

D-6. MobiControlコンソールへのログインに2段階認証を

MobiControlコンソールへのログインには、認証サービスによる認証を経るよう設定できます。「 F. IDプロバイダのユーザグループを、コンソール管理者グループとして登録」を 参照ください。IDプロバイダは、その製品によっては、2段階認証を要求するオプションがあります。このようなIDプロバイダを採用すれば、コンソールへのログインに、2段階認証を必須とすることが できます。

E. IDプロバイダの接続プロファイル設定画面の表示方法

コンソール画面の左上の三本線アイコンをクリックすると、(図4)のメニュー画面が現れます。
(図4)

 

(図4)の「システム中枢の設定」を選択すると、画面が遷移します。
その画面の左下は(図5)のように表示されます。

(図5) 


(図5)で、「識別プロバイダーの設定」の行の右端のレンチマーク をクリックします。
ポップアップした画面の下辺で、「新規」タブを押すと、画面が(図1)のように遷移します。

MobiControlのバージョンによっては、「識別プロバイダーの設定」の替わりに、「「識別プロバイダー接続」または 「IdP接続」の表示になっていることもあります。

F. コンソール管理者の本人認証を、IDプロバイダで

(図5)で、「コンソールセキュリティ設定」の行の右端のレンチマーク をクリックします。
(図6)がポップアップします。

(図6)

「SAML SSO」タブを選び、「SSOを有効」にチェックを入れます。 赤矢印部分をプルダウンすると、(図1)で作成した、IDプロバイダの接続プロファイルの名前のリストが、表示されます。
そのどれかを選択します。前述しましたが、 IDプロバイダの場合は、2段階認証を要求するオプションがあります。このようなIDプロバイダを採用すれば、コンソールへのログインに、2段階認証を必須とすることが できます。

G. 端末登録ルールの作成

端末登録ルールの設定選択肢として、認証サービスによる認証を経てからのみ、登録を可能とすることができます。 (図7)は、端末登録ルールの作成プロセスで現れるダイアログの一部です。
「IDプロバイダ」を選択すると、(図7)のようになります。赤矢印部分をプルダウンすると、 (図1)で命名した名前の一覧が表示されます。

(図7)