Integration in cloudbasierte Identitätsdienste

Die Integration in einen cloudbasierten Identitätsdienst ähnelt der in einen LDAP-Verzeichnisdienst. Sie können dadurch:

  • Benutzerinformationen aus dem Secure LDAP Dienst zum Zweck der Bestandserfassung abrufen und automatisch einfügen

  • Benutzeraccounts oder Gruppen in Jamf Pro mit Secure LDAP erstellen

  • Dafür sorgen, dass sich die Benutzer bei Self Service oder dem Registrierungsportal mit ihren Anmeldedaten für den LDAP-Verzeichnisdienst anmelden

  • Dafür sorgen, dass sich die Benutzer während der Einrichtung ihres Mobilgeräts mit ihren Anmeldedaten für den LDAP-Verzeichnisdienst anmelden

  • Benutzer oder Gruppen aus Secure LDAP zum Anwendungsbereich für Fernverwaltungsaufgaben hinzufügen

Für die Integration von Jamf Pro in einen cloudbasierten Identitätsdienst benötigen Sie detaillierte Informationen zum Identitätsdienst und müssen eine Keystore- oder Zertifikatdatei hochladen.

Jamf Pro ermöglicht die Integration in den Secure LDAP Dienst von Google, der Teil von G Suite Enterprise und Cloud Identity Premium ist. Der Dienst kann im Zusammenspiel mit Jamf Pro für die Benutzerauthentifizierung und die Synchronisierung von Gruppen verwendet werden.

Hinweis: Benutzer mit Lizenzen für Cloud Identity Free oder G Suite Basis/Business können sich nicht bei Jamf Pro authentifizieren. Bei dem Versuch, sich zu authentifizieren, wird in den Jamf Pro Protokollen der Fehlercode INSUFFICIENT_ACCESS_RIGHTS (50) (UNZUREICHENDE_ZUGRIFFSRECHTE [50]) angezeigt. Weitere Informationen zu Fehlercodes im Zusammenhang mit Secure LDAP finden Sie in der folgenden Dokumentation von Google: https://support.google.com/a/answer/9167101

Benutzer mit Lizenzen für Cloud Identity Free oder G Suite Basic/Business werden in den Ergebnissen von Suchvorgängen nach Benutzern angezeigt und können als LDAP-Accounts zu Jamf Pro hinzugefügt werden.

Secure LDAP von Google erfordert eine andere Konfiguration als herkömmliche LDAP-Server. Eine Anleitung dafür, wie Sie Jamf Pro als LDAP-Client zu Secure LDAP hinzufügen, Zugriffsrechte konfigurieren und das generierte Zertifikat herunterladen, finden Sie in der folgenden Dokumentation von Google: https://support.google.com/cloudidentity/answer/9048516

Nachdem Sie Jamf Pro als LDAP-Client hinzugefügt haben, müssen Sie die P12-Keystore-Datei erstellen. Weitere Informationen finden Sie in der Informationsdatenbank im Artikel Generating the PKCS12 Keystore File When Integrating Google Cloud Identity Provider with Jamf Pro (Erstellen der PKCS12-Keystore-Datei bei Integration von Jamf Pro in den Google Cloud Identitätsdienst).

Hinzufügen einer Instanz für den Google Identitätsdienst

  1. Melden Sie sich bei Jamf Pro an.

  2. Klicken Sie in der oberen rechten Ecke der Seite auf Einstellungen images/download/thumbnails/81532253/Settings_Icon.png .

  3. Klicken Sie auf Systemeinstellungen.

  4. Klicken Sie auf Cloudbasierte Identitätsdienste images/download/thumbnails/81532253/icon-CloudIdentityProviders.png .

  5. Klicken Sie auf Neu images/download/thumbnails/81532253/Icon_New_Button.png .

  6. Konfigurieren Sie die angezeigten Einstellungen. Dabei sind die folgenden Einschränkungen zu beachten:

    • Der für die Konfiguration angezeigte Name muss eindeutig sein.

    • Als DC-Werte der Suchbasis werden auf den Tabs „Benutzerzuordnungen“ und „User Groups Mapping (Zuordnungen für Benutzergruppen)“ automatisch die Domänennamen eingefügt.

  7. Geben Sie im Bereich „Zuordnungen“ die Objektklasse und die Zeichenketten für die Suchbasis ein. Ordnen Sie ebenfalls die Attribute zu. Beim Konfigurieren der Suchbasis muss die Serverabfrage in der Reihenfolge durchgeführt werden, die der Hierarchie in Ihrer Verzeichnisstruktur entspricht, um sicherzustellen, dass bei der Suche die richtigen Ergebnisse ausgegeben werden.

  8. Klicken Sie auf Speichern images/download/thumbnails/81531754/floppy-disk.png .

Die Konfiguration für die Verbindung mit LDAP-Servern ist standardmäßig aktiviert. Sie können die Konfiguration bei Bedarf mit der Umschaltfläche deaktivieren. Wenn die Konfiguration deaktiviert ist, werden von Jamf Pro keine Daten mehr von diesem Secure LDAP Server abgerufen. Dadurch können Sie eine andere Instanz hinzufügen, ohne die aktuelle Konfiguration löschen müssen.

Die Attributzuordnungen für den Secure LDAP Dienst von Google können ebenfalls über die Jamf Pro API konfiguriert werden. Weitere Informationen finden Sie in der Informationsdatenbank im Artikel Configuring the Jamf Infrastructure Manager to Use Jamf Pro API (Konfigurieren der Attributzuordnungen für cloudbasierte Identitätsdienste über die Jamf Pro API).

Beim Speichern einer Verbindung mit einem LDAP-Server werden automatisch der Hostname, der Port und die Domäne überprüft. Die Überprüfung muss erfolgreich abgeschlossen werden, ehe die Verbindung verwendet werden kann.

Wichtig: In großen Umgebungen können bei der Überprüfung gültiger Konfigurationen Fehler auftreten. Vergewissern Sie sich, dass die Werte im Formular korrekt sind, und versuchen Sie dann erneut, die Konfiguration zu speichern.

Wenn die Verbindung zum Secure LDAP Dienst von Google fehlschlägt, navigieren Sie in Ihrer Google Admin-Konsole zu Berichte und überprüfen Sie das Audit-Protokoll für LDAP.

Testen der Attributzuordnungen aus cloudbasierten Identitätsdiensten

Die folgenden Attributzuordnungen können getestet werden:

  • Benutzerzuordnungen

  • Zuordnungen für Benutzergruppen

  • Zuordnungen für Mitgliedschaften in Benutzergruppen

Wenn von Jamf Pro die richtigen Informationen zurückgegeben werden, wurden die Attribute ordnungsgemäß zugeordnet.

  1. Melden Sie sich bei Jamf Pro an.

  2. Klicken Sie in der oberen rechten Ecke der Seite auf Einstellungen images/download/thumbnails/81532253/Icon_Settings_Hover.png .

  3. Klicken Sie auf Systemeinstellungen.

  4. Klicken Sie auf Cloudbasierte Identitätsdienste images/download/thumbnails/81532253/icon-CloudIdentityProviders.png .

  5. Klicken Sie auf den Namen der Instanz, die getestet werden soll.

  6. Klicken Sie auf Test images/download/thumbnails/80748624/verification.png .

  7. Klicken Sie auf den gewünschten Tab und bearbeiten Sie die verfügbaren Felder nach Bedarf.

  8. Klicken Sie erneut auf Test.

Weiterführende Informationen

Weiterführende Informationen finden Sie in den folgenden Abschnitten dieses Leitfadens:

  • Jamf Pro Benutzer und Gruppen
    Hier erfahren Sie, wie Sie in Jamf Pro Benutzer und Benutzergruppen aus einem LDAP-Verzeichnisdienst hinzufügen.

  • Einstellungen für die Benutzeranmeldung bei Jamf Self Service für macOS
    Hier erfahren Sie, wie Sie Benutzer dazu auffordern, sich mit den Anmeldeinformationen ihres LDAP-Accounts bei Jamf Self Service für macOS anzumelden.

  • Jamf Self Service für iOS
    Hier erfahren Sie, wie Sie Benutzer dazu auffordern, sich mit den Anmeldeinformationen ihres LDAP-Accounts bei Jamf Self Service für iOS anzumelden.

  • Self Service Webclip
    Hier erfahren Sie, wie Sie Benutzer dazu auffordern, sich mit den Anmeldeinformationen ihres LDAP-Accounts beim Self Service Webclip anzumelden.

  • Benutzerinitiierte Registrierung von Computern
    Hier erfahren Sie, wie Sie Benutzer dazu auffordern, sich vor der Registrierung von Computern mit den Anmeldeinformationen ihres LDAP-Accounts beim Registrierungsportal anzumelden.

  • Benutzerinitiierte Registrierung von Mobilgeräten
    Hier erfahren Sie, wie Sie Benutzer dazu auffordern, sich vor der Registrierung von Mobilgeräten mit den Anmeldeinformationen ihres LDAP-Accounts beim Registrierungsportal anzumelden.

  • PreStage-Registrierungen für Mobilgeräte
    Hier erfahren Sie, wie Sie Benutzer dazu auffordern, sich während der Einrichtung ihres Mobilgeräts mit den Anmeldeinformationen ihres LDAP-Accounts anzumelden, ehe das Mobilgerät über eine PreStage-Registrierung registriert wird.

  • Bereich
    Hier erfahren Sie, wie Sie den Anwendungsbereich auf der Grundlage von Benutzern oder Benutzergruppen aus einem LDAP-Verzeichnisdienst erstellen.

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2020 Jamf. Alle Rechte vorbehalten.