Sie können Jamf Pro in einen externen Identitätsdienst integrieren, um für bestimmte Funktionen Single Sign-On (SSO) zu aktivieren. Wenn SSO konfiguriert und aktiviert ist, wird der Benutzer automatisch zur Anmeldeseite des Identitätsdienstes Ihrer Organisation weitergeleitet. Nach der Authentifizierung kann der Benutzer auf die von ihm gewünschte Ressource zugreifen.

SSO kann für die folgenden Funktionen in Jamf Pro aktiviert werden:

Für den Zugriff auf den Jamf Pro Server – Bei jedem Versuch eines nicht authentifizierten Benutzers, auf den Jamf Pro Server zuzugreifen, wird der Benutzer zur Anmeldeseite des Identitätsdienstes weitergeleitet, es sei denn, in den Einstellungen für Single Sign-On in Jamf Pro ist das Markierungsfeld „Allow users to bypass the Single Sign-On authentication (Benutzern erlauben, die Authentifizierung per Single Sign-On zu umgehen)“ aktiviert.

Für die benutzerinitiierte Registrierung (iOS und macOS Geräte) – Der Benutzer muss sich bei einem Identitätsdienst authentifizieren, ehe er die benutzerinitiierte Registrierung abschließen kann. Der für die Authentifizierung per SSO eingegebene Benutzername wird von Jamf Pro während der Aktualisierung der Bestandsdaten automatisch in das Feld „Benutzername“ unter „Benutzer und Standort“ eingefügt.
Für Jamf Self Service für macOS – Der Benutzer muss sich bei einem Identitätsdienst authentifizieren, ehe er Self Service verwenden kann. Der für die Authentifizierung per SSO eingegebene Benutzername wird von Jamf Pro für Berechnungen im Zusammenhang mit Anwendungsbereichen verwendet. Self Service kann auf alle beim Identitätsdienst hinterlegten Benutzernamen zugreifen.

Hinweis:

Für die Übertragung mittels SAML-Protokoll wird die Verwendung von SSL-Endpunkten (HTTPS) und die Bindung per POST empfohlen.
Beim Konfigurieren der Einstellungen Ihres Identitätsdienstes wird empfohlen, für SAML-Assertionen per SHA-256 oder einem sichereren Hash-Algorithmus erzeugte Signaturen zu verwenden.

Single Sign-On bei Verwendung von LDAP

Wenn Jamf Pro zusätzlich an einen LDAP-Verzeichnisdienst angebunden ist, müssen Sie beim Konfigurieren von SSO Folgendes berücksichtigen:

Wenn Sie Benutzer oder Gruppen aus einem LDAP-Verzeichnisdienst für Single Sign-On verwenden, müssen diese Benutzer und Gruppen erst als Jamf Pro Standardbenutzer oder -gruppen in den Einstellungen unter „Jamf Pro Benutzer & Gruppen“ hinzugefügt werden.
Wenn in Jamf Pro ein LDAP-Verzeichnisdienst integriert ist, können die für den LDAP-Verzeichnisdienst festgelegten Einschränkungen und Ausschlüsse verwendet werden. Diese werden berechnet, indem der während der Anmeldung für Self Service beim Identitätsdienst eingegebene Benutzername mit dem Benutzernamen im LDAP-Verzeichnisdienst abgeglichen wird.
Ohne Integration eines LDAP-Verzeichnisdienstes werden die für einen Benutzernamen anzuwendenden Ziele und Ausschlüsse bestimmt, indem der während der Anmeldung für Self Service beim Identitätsdienst eingegebene Benutzername mit Benutzeraccounts und Gruppen in Jamf Pro abgeglichen wird.

Single Logout

Bei der Registrierung kommt ein vom Identitätsdienst initiiertes Single Logout (SLO) auf Basis des SAML-Protokolls zum Einsatz. Dadurch wird sichergestellt, dass alle bei Jamf Pro und dem Identitätsdienst gestarteten Sitzungen vom Benutzer beendet werden. Nachdem der Benutzer den Registrierungsprozess abgeschlossen hat, wird eine Abmeldetaste angezeigt. Der während der Registrierung angezeigte Text kann in den Einstellungen für die benutzerinitiierte Registrierung im Bereich „Nachrichten“ angepasst werden.

SLO ist in den folgenden Szenarien nicht verfügbar:

Von Ihrem Identitätsdienst werden keine SLO-Endpunkte in den Metadaten unterstützt.
Es ist kein Jamf Pro Siginierungszertifikat konfiguriert.

Wenn SLO nicht verfügbar ist, wird dem Benutzer eine Nachricht angezeigt, dass die Sitzung beim Identitätsdienst möglicherweise weiterhin aktiv ist. Dies ist insbesondere für Jamf Pro Administratoren wichtig, die sich nicht jedes Mal vollständig abmelden können, wenn sie den Registrierungsvorgang für andere Benutzer durchführen.

Hinweis: Zur Unterstützung nicht gängiger Konfigurationen für Identitätsdienste kann die GET-Bindung für Single Logout auf Basis von SAML verwendet werden. Diese bietet allerdings ein geringeres Maß an Sicherheit als die POST-Bindung.

Einstellungen für die Konfiguration des Identitätsdienstes

Um Single Sign-On (SSO) in Verbindung mit Jamf Pro nutzen zu können, müssen Sie bestimmte Einstellungen in der Konsole, dem Portal oder einem anderen Tool Ihres Identitätsdienstes konfigurieren. Diese Einstellungen müssen im Identitätsdienst in der Regel konfiguriert werden, bevor Sie SSO in Jamf Pro aktivieren. In einigen gängigen Identitätsdiensten sind vorkonfigurierte SSO-Einstellungen speziell für Jamf Pro verfügbar.

Wichtig: Je nach dem von Ihnen verwendeten Identitätsdienst müssen die SSO-Einstellungen zur gleichen Zeit sowohl im Identitätsdienst als auch in Jamf Pro konfiguriert werden, damit die Einstellungen korrekt zugeordnet werden. Darüber hinaus können weitere Einstellungen oder Schritte erforderlich sein.

Eine Anleitung zum Konfigurieren von SSO mit Ihrem jeweiligen Identitätsdienst finden Sie in den folgenden Artikeln in der Informationsdatenbank:

Configuring Single Sign-On with Okta (Konfigurieren von Single Sign-On bei Verwendung von Okta)
Configuring Single Sign-On with Active Directory Federation Services (Konfigurieren von Single Sign-On bei Verwendung von Active Directory Federation Services)
Configuring Single Sign-On with Shibboleth (Konfigurieren von Single Sign-On bei Verwendung von Shibboleth)
Configuring Single Sign-On with OneLogin (Konfigurieren von Single Sign-On bei Verwendung von OneLogin)
Configuring Single Sign-On with Ping Identity (Konfigurieren von Single Sign-On bei Verwendung von Ping Identity)
Configuring Single Sign-On with G Suite (Google Apps) (Konfigurieren von Single Sign-On bei Verwendung von G Suite [Google Apps])
Configuring Single Sign-On with Centrify (Konfigurieren von Single Sign-On bei Verwendung von Centrify)

Informationen zum Konfigurieren von SSO mit Azure AD finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/azure/active-directory/saas-apps/jamfprosamlconnector-tutorial.

Aktivieren von Single Sign-On in Jamf Pro

Anforderungen

Für die Aktivierung von Single Sign-On (SSO) in Jamf Pro wird Folgendes benötigt:

Integration in einen Identitätsdienst, der SAML-2.0-Protokolle unterstützt
Jamf Pro Benutzeraccounts oder Gruppen, die mit Benutzernamen oder Gruppen beim Identitätsdienst übereinstimmen
Administratorberechtigungen für Jamf Pro und den Identitätsdienst

Verfahren

Hinweis: Durch die Aktivierung von SSO für Dienste und Anwendungen in Jamf Pro können sich die Benutzer nur noch mit den SSO-Anmeldedaten anmelden.

Melden Sie sich bei Jamf Pro an.
Klicken Sie in der oberen rechten Ecke der Seite auf Einstellungen .
Klicken Sie auf Systemeinstellungen.
Klicken Sie auf Single Sign-On.
Klicken Sie auf Bearbeiten .
Wählen Sie das Markierungsfeld Authentifizierung per Single Sign-On aktivieren aus.

Hinweis: Kopieren Sie die unter Anmelde-URL für Failover angegebene URL und speichern Sie sie an einem abgesicherten Speicherort.
Wählen Sie im Einblendmenü Identitätsdienst Ihren jeweiligen Identitätsdienst aus. Wenn der von Ihnen verwendete Identitätsdienst nicht im Einblendmenü angezeigt wird, wählen Sie „Sonstiges“ aus.
Die Informationen unter Entitäts-ID werden von Jamf Pro standardmäßig automatisch eingefügt (z. B. „https://instanzname.jamfcloud.com/saml/metadata“).

Hinweis: Dieser Wert muss in der Regel mit dem Wert für die Zielgruppen-URI übereinstimmen, die in den Einstellungen Ihres Identitätsdienstes konfiguriert ist.
Wählen Sie im Einblendmenü Identity Provider Metadata Source (Quelle der Metadaten des Identitätsdienstes) die Option „Metadaten-URL“ oder „Metadaten-Datei“ aus. Dieser Wert stammt aus den Konfigurationseinstellungen Ihres Identitätsdienstes.
Geben Sie in das Feld Ablauf des Tokens einen Wert in Minuten ein. Mit diesem Wert wird der Zeitraum bis zum Ablauf des SAML-Tokens angegeben. Er wird für den von Ihnen verwendeten Identitätsdienst automatisch vorab eingefügt.

Wichtig: Vergewissern Sie sich, dass dieser Wert mit den Einstellungen für den Ablauf des Tokens übereinstimmt, die möglicherweise in Ihrem Identitätsdienst konfiguriert sind.
Konfigurieren Sie die Einstellungen für die Benutzerzuordnung:
1. Wählen Sie das Attribut aus dem SAML-Token aus, das für die Zuordnung der Jamf Pro Benutzer verwendet werden soll. Standardmäßig wird das Attribut NameID verwendet. Wenn Sie Benutzerdefiniertes Attribut auswählen, können Sie ein benutzerdefiniertes Attribut festlegen, das dem vom Identitätsdienst bereitgestellten SAML-Token hinzugefügt wird.
  
  Hinweis: Um den Informationsaustausch zwischen Jamf Pro und dem Identitätsdienst zu gewährleisten, muss das vom Identitätsdienst gesendete SAML-Token für beide Optionen das Attribut NameID enthalten.
2. Wählen Sie Benutzername oder E-Mail aus, um festzulegen, wie im Identitätsdienst hinterlegte Benutzer den Benutzern in Jamf Pro zugeordnet werden sollen. Die Benutzerinformationen werden von Jamf Pro standardmäßig aus dem Identitätsdienst abgerufen und mit in Jamf Pro vorhandenen Benutzeraccounts abgeglichen. Wenn der übermittelte Benutzeraccount in Jamf Pro nicht vorhanden ist, findet ein Abgleich anhand des Gruppennamens statt.
3. Geben Sie in das Feld Attributname für Identitätsdienst-Gruppe das Attribut im SAML-Token ein, mit dem Benutzer im Identitätsdienst bestimmt werden. Die Gruppennamen werden von Jamf Pro mit den Gruppen in der Jamf Pro Datenbank abgeglichen. Die Benutzer erhalten die Zugriffsrechte aller Gruppen, die auch einem lokalen Jamf Pro Benutzer gewährt würden. AttributeValue-Zeichenfolgen können als mehrere Zeichenfolgen oder als einzelne Zeichenfolge oder als durch Semikolon voneinander getrennte Werte konfiguriert werden.
  
  Beispiel: http://schemas.xmlsoap.org/claims/Group
4. (Optional) Verwenden Sie die Einstellung RDN-Schlüssel für die LDAP-Gruppe, um den Namen der Gruppe aus Zeichenfolgen zu extrahieren, die im LDAP-Format als definierte Namen (DN) angegeben sind. Die übermittelte Zeichenfolge wird von Jamf Pro mit dem angegebenen Schlüssel nach einem relativen definierten Namen (RDN) durchsucht. Der Wert des RDN-Schlüssels wird als tatsächlicher Name der Gruppe verwendet.
  
  Hinweis: Wenn die vom LDAP-Verzeichnisdienst übermittelte Zeichenfolge mehrere RDN-Komponenten mit demselben Schlüssel (z. B. „CN=Administrators“, „CN=Users“, „O=YourOrganization“) enthält, werden von Jamf Pro die Gruppennamen aus dem RDN-Schlüssel extrahiert, der links als erstes angegeben ist (in diesem Fall „CN=Administrators“). Wenn das Feld „RDN-Schlüssel für die LDAP-Gruppe“ leer bleibt, wird von Jamf Pro die gesamte Zeichenfolge im LDAP-Format verwendet.
(Empfohlen) Wählen Sie unter Jamf Pro Signierungszertifikat eine Option aus, um jegliche SAML-Kommunikation mit einer digitalen Signatur zu schützen. Wenn das Jamf Pro Signierungszertifikat hochgeladen werden soll, müssen Sie einen Signierungszertifikat-Keystore (JKS- oder P12-Datei) mit einem privaten Schlüssel hochladen, um SAML-Tokens zu signieren und zu verschlüsseln. Anschließend geben Sie das Passwort für die Keystore-Datei ein, wählen den Alias des privaten Schlüssels aus und geben dann das Passwort für diesen Schlüssel ein.
Konfigurieren Sie für Jamf Pro nach Bedarf eine oder mehrere der folgenden SSO-Optionen:
- Wählen Sie Allow users to bypass the Single Sign-On authentication (Benutzern erlauben, die Authentifizierung per Single Sign-On zu umgehen), um Benutzern die Anmeldung bei Jamf Pro ohne SSO-Authentifizierung zu erlauben, indem sie die Jamf Pro URL direkt aufrufen. Wenn ein Benutzer versucht, über Ihren Identitätsdienst auf Jamf Pro zuzugreifen, wird er weiterhin vom Identitätsdienst per Single Sign-On authentifiziert und autorisiert.
- Wählen Sie Enable Single Sign-On for Self Service for macOS (SSO für Self Service für macOS aktivieren) aus, wenn sich die Benutzer auf der Anmeldeseite Ihres Identitätsdienstes bei Self Service anmelden können sollen. Self Service kann auf alle beim Identitätsdienst hinterlegten Benutzernamen zugreifen.
  Hinweis:
  - Wenn diese Option ausgewählt ist, wird in den Anmeldeeinstellungen in Self Service für macOS für die Benutzeranmeldung bei Self Service automatisch Single Sign-On konfiguriert.
  - Durch Deaktivieren von Single Sign-On für Self Service werden die Einstellungen für die Benutzeranmeldung in Self Service automatisch zurückgesetzt und so geändert, dass Benutzern die Anmeldung mit einem LDAP-Account oder Jamf Pro Benutzeraccount erlaubt wird, um für sie verfügbare Elemente anzuzeigen.
- Wählen Sie Enable Single Sign-On for User-Initiated Enrollment (SSO für benutzerinitiierte Registrierung aktivieren) aus, wenn sich die Benutzer auf der Anmeldeseite Ihres Identitätsdienstes bei Jamf Pro anmelden können sollen. Bei Aktivierung dieser Option entspricht der auf der Anmeldeseite des Identitätsdienstes verwendete Benutzername dem Benutzernamen, der von Jamf Pro während der Aktualisierung der Bestandsdaten für einen Computer oder ein Mobilgerät unter „Benutzer und Standort“ in das Feld „Benutzername“ eingefügt wird. Sie können festlegen, ob der Zugriff allen Benutzern beim Identitätsdienst oder nur bestimmten Benutzergruppen gewährt werden soll.
  Hinweis:
  - Wenn in Jamf Pro ein LDAP-Verzeichnisdienst integriert ist, werden die Benutzer- und Standortdaten vollständig aus dem LDAP-Verzeichnis abgerufen und automatisch eingefügt.
  - Ohne einen angebundenen LDAP-Verzeichnisdienst werden dagegen nur die Informationen im Feld „Benutzername“ der Kategorie „Benutzer und Standort“ automatisch eingefügt. Ein Benutzerabgleich ist während der Registrierung nicht möglich.
Klicken Sie auf Speichern .
(Optional) Laden Sie die Jamf Pro Metadaten-Datei herunter.

Der Benutzer wird nun automatisch zur Anmeldeseite Ihres Identitätsdienstes weitergeleitet und kann auf die konfigurierten Jamf Pro Ressourcen zugreifen.

Melden Sie sich zum Testen der Einstellungen für die SSO-Authentifizierung bei Jamf Pro und Ihrem Identitätsdienst ab. Rufen Sie anschließend in Ihrem Webbrowser die Jamf Pro URL auf. Daraufhin sollte die Anmeldeseite Ihres Identitätsdienstes angezeigt werden. Nach erfolgreicher Authentifizierung sollten Sie dann zum Jamf Pro Dashboard weitergeleitet werden.

Informationen zur Behebung häufig auftretender Fehler bei Verwendung von SSO finden Sie in der Informationsdatenbank im Artikel Troubleshooting Single Sign-On in Jamf Pro (Behebung von Fehlern mit Single Sign-On in Jamf Pro).

Weiterführende Informationen

Weiterführende Informationen finden Sie in den folgenden Abschnitten dieses Leitfadens:

Integrieren von LDAP-Verzeichnisdiensten
Hier erfahren Sie, wie Sie die Anbindung an einen LDAP-Verzeichnisdienst konfigurierten und LDAP-Attribut-Zuordnungen überprüfen.
Jamf Pro Benutzer und Gruppen
Hier erfahren Sie, wie Sie einen Benutzeraccount oder eine Gruppe in Jamf Pro konfigurieren.
Einstellungen für die Benutzeranmeldung bei Jamf Self Service für macOS
Hier erfahren Sie, wie Sie Benutzer dazu auffordern, sich mit den Anmeldeinformationen ihres LDAP-Accounts bei Jamf Self Service für macOS anzumelden.
Benutzerinitiierte Registrierung von Computern
Hier erfahren Sie, wie Sie den Text für die Nachricht anpassen, die dem Benutzer beim Abmelden angezeigt wird.
Benutzerinitiierte Registrierung von Mobilgeräten
Hier erfahren Sie, wie Sie Benutzer dazu auffordern, sich vor der Registrierung von Mobilgeräten mit den Anmeldeinformationen ihres LDAP-Accounts beim Registrierungsportal anzumelden.
Einstellungen für die Anpassung des Registrierungsvorgangs
Hier erfahren Sie, wie Sie mit den Einstellungen für die Anpassung des Registrierungsvorgangs den PreStage-Bereich für die Authentifizierung per Single Sign-On konfigurieren.