Integration mit Azure AD

Wird Jamf Pro mit Azure AD als cloudbasiertem Identitätsdienst integriert, können Sie die folgenden LDAP-Workflows nutzen, ohne die Azure AD Domänendienste konfigurieren zu müssen:

  • Alle Benutzer und Gruppen zum Zweck der Bestandserfassung abrufen

  • Nach Benutzermitgliedschaften suchen und so relevanten Accounts in Jamf Pro Berechtigungen zuordnen

  • Benutzerauthentifizierung und Bereich konfigurieren

Beachten Sie bei der Integration von Jamf Pro mit Azure AD Folgendes:

  • Ihre Jamf Pro Instanz muss über Jamf Cloud gehostet werden.

  • Ihre Azure AD Berechtigungen (z. B. Global Administrator) ermöglichen es, Zustimmungsanfragen der Azure AD Connector App in Jamf Pro zu verwalten.

  • Benutzergruppen, die in Jamf Pro hinzugefügt werden, sollten die gleichen Namen haben wie die in Azure AD konfigurierten Gruppen. In Jamf Pro hinzugefügte Accounts und Gruppen müssen dem Standardtyp entsprechen.

  • Wenn Sie mit verzeichnisspezifischen Workflows arbeiten (z. B. Bereichseinschränkungen und -ausschlüsse hinzufügen), werden cloudbasierte Azure AD Identitätselemente unter den LDAP-Überschriften aufgeführt.

Azure AD als cloudbasierte Identitätsdienst-Integration verwendet Microsoft Graph API und Verbindungen mit der Domäne https://graph.microsoft.com. Gemeinsam mit der vom Administrator über Cloud Connector gewährten Zustimmung wird so sichergestellt, dass die Verzeichnisdaten automatisch weitergegeben und in den Verzeichnis-Workflows in Jamf Pro verwendet werden. In Azure werden lediglich die Daten gelesen und keine weiteren Aktionen durchgeführt.

Beim Einrichten der Graph API-Verbindung zwischen Jamf Pro und Azure AD muss sich ein globaler Administratorbenutzer authentifizieren. Nach der erfolgreichen Authentifizierung wird automatisch eine Anwendung für Jamf Pro in Azure AD hinzugefügt, damit die Graph API verwendet werden kann. Das bedeutet, dass die Anwendung in Azure AD nicht manuell erstellt werden muss. Nach dem Hinzufügen der Anwendung wird die Sitzung beendet. Wenn Jamf Pro in Azure AD Abfragen durchführt, erfolgt dies im Zugriffsstatus „Nur lesen“. Jamf Pro kann keine Daten an Azure AD übertragen.

Das folgende Diagramm veranschaulicht eine übliche Integration des Azure AD Identitätsdienstes in Jamf Pro:

images/download/attachments/85400284/DE_Azure_AD_Integration.png

Nach Erhalt der Einwilligung autorisiert die Cloud Connector Webanwendung eine spezifische Client-ID und die empfangene Mandanten-ID durch einen Abgleich mit dem Autorisierungsendpunkt von Azure. Aus diesem Grund antwortet Azure mit einem Autorisierungscode. Dieser Code wird zusammen mit der Mandanten-ID zurück an Jamf Pro übertragen. Wenn Jamf Pro den Datensatz von der Cloud Connector Webanwendung empfängt, wird der empfangene Autorisierungscode verifiziert. Wenn keine Probleme mit dem Datensatz erkannt werden, wird die Konfiguration gespeichert. Mit diesem Ansatz wird sichergestellt, dass Jamf Pro die Nutzung der Mandantendaten von Azure ausschließlich auf den erlaubten Client/die erlaubte Anwendung beschränkt.

Die für die Sicherung von übertragenen Daten verwendete Version von TLS ist eine Version ab 1.2 mit Perfect Forward Security (PFS). Jamf Pro wird immer versuchen, zuerst die Verhandlung für das Protokoll auf der höchsten Ebene durchzuführen.

Um die Verbindung herzustellen, ist der folgende Berechtigungssatz für die Jamf Pro Anwendung erforderlich:

  • Access directory as the signed in user (Als der angemeldete Benutzer auf das Verzeichnis zugreifen)

  • Sign in and read user profile (Anmelden und Benutzerprofil lesen)

  • Read directory data (Verzeichnisdaten lesen)

Wenn die Verbindung mit Azure aktiviert wurde, kann Jamf Pro die Verzeichnisinformationen von Azure abrufen. Das folgende Diagramm zeigt den typischen Workflow für das Abrufen von Verzeichnisdaten:

images/download/attachments/85400284/DE_Azure_AD_Integration_%281%29.png

Wenn der Administrator die Verzeichnisabfrage initialisiert, fordert Jamf Pro über den Clientanmeldeinformations-Flow ein Zugriffstoken von Azure an. Wenn das Token gewährt wurde, fragt Jamf Pro die Verzeichnisdaten über die Microsoft Graph API ab. Nach der erfolgreichen Client-Verifizierung wird ein Datensatz zurückgegeben. Jamf Pro weist diese Daten einem Objekt zu, das dann in Verzeichnis-Workflows in Jamf Pro verwendet werden kann. Informationen zur Microsoft Graph REST API finden Sie unter Referenz zu Microsoft Graph REST API v1.0.

Multi-Faktor-Authentifizierung

Wenn Azure AD mit aktivierter Multi-Faktor-Authentifizierung (MFA) als cloudbasierter Identitätsanbieter hinzugefügt wird, funktionieren Authentifizierungsworkflows in Jamf Pro (z. B. Self Service Anmeldung und Registrierungsanmeldung) nicht für Azure AD Benutzergruppen und Accounts. Um Benutzern die Verwendung der Workflows zu erlauben, müssen Sie Single Sign-On (SSO) mit Azure konfigurieren. Informationen zur Konfiguration von SSO in Jamf Pro finden Sie unter Single Sign-On.

Wichtig: Self-Service für Mobilgeräte unterstützt keine Single Sign-On-Workflows.

In der folgenden Tabelle wird zusammenfassend dargestellt, wie sich der Status der Multi-Faktor-Authentifizierung (MFA) in Azure auf Jamf Pro Authentifizierungsworkflows für Azure AD als cloudbasierten Identitätsdienst auswirkt:

Art des Workflows

Bei deaktivierter MFA in Azure

Bei aktivierter MFA in Azure

Bei aktivierter MFA in Azure und SSO mit Azure in Jamf Pro konfiguriert

Jamf Pro Anmeldung

Unterstützt
(Standardmäßige Anmeldeseite)

Nicht unterstützt

Unterstützt
(Microsoft Anmeldebildschirm)

Registrierungsanmeldung (Benutzerinitiierte Registrierung und Anpassung des Registrierungsvorgangs)

Unterstützt
(Registrierungsanmeldungsseite und Fenster für LDAP-Authentifizierung bei „Anpassung des Registrierungsvorgangs“)

Nicht unterstützt

Unterstützt
(Microsoft Anmeldungsseite/Fenster für SSO-Authentifizierung bei „Anpassung des Registrierungsvorgangs“)

Jamf Pro Anwendungen (z. B. Jamf Admin)

Unterstützt
(standardmäßiges Anmeldefenster)

Nicht unterstützt

Nicht unterstützt

Anmeldung bei Self-Service für macOS

Unterstützt
(standardmäßiges Anmeldefenster)

Nicht unterstützt

Unterstützt
(Microsoft Anmeldebildschirm)

Anmeldung bei Self-Service für Mobilgeräte

Unterstützt
(standardmäßiges Anmeldefenster)

Nicht unterstützt

Nicht unterstützt

Konfigurieren der Verbindung für den cloudbasierten Azure AD Identitätsdienst

Wichtig: Wenn Jamf Pro bereits mit einer Azure Active Directory Domänendienste- oder Microsoft Active Directory LDAP-Konfiguration integriert ist, die Sie auf eine Azure AD Instanz migrieren möchten, fügen Sie diese Azure AD Instanz nicht als cloudbasierten Identitätsdienst in Jamf Pro hinzu. Um sicherzustellen, dass Ihre bestehenden LDAP-Workflows (z. B. Anwendungsbereiche oder Benutzeraccounts und Gruppen) weiterhin korrekt funktionieren, müssen Sie Ihre Konfiguration migrieren, sobald der Migrationsassistent in einer zukünftigen Version von Jamf Pro verfügbar ist. Wird die Azure AD Integration vor der Migration hinzugefügt, funktioniert Ihre Umgebung möglicherweise nicht mehr.

Wird eine Serververbindung hinzugefügt, ist diese standardmäßig aktiviert. Sie können mehrere Verbindungen konfigurieren und auswählen, welche verwendet wird. Wird die Verbindung deaktiviert, können von Jamf Pro keine Daten mehr von diesem Server abgefragt werden. Dadurch können Sie eine andere Konfiguration hinzufügen, ohne die aktuelle Verbindung löschen zu müssen. Sie können die Verbindung bei Bedarf mit der Umschaltfläche deaktivieren.

  1. Melden Sie sich bei Jamf Pro an.

  2. Klicken Sie in der oberen rechten Ecke der Seite auf Einstellungen images/download/thumbnails/85400284/Settings_Icon.png .

  3. Klicken Sie auf Systemeinstellungen.

  4. Klicken Sie auf Cloudbasierte Identitätsdienste images/download/thumbnails/85400284/icon-CloudIdentityProviders.png .

  5. Klicken Sie auf Neu images/download/thumbnails/85400284/Icon_New_Button.png .

  6. Wählen Sie Azure und klicken Sie auf Weiter. Sie werden zur Zustimmungsseite für Administratoren bei Microsoft weitergeleitet.

  7. Geben Sie Ihre Anmeldedaten für Microsoft Azure ein und befolgen Sie die Anweisungen auf dem Bildschirm, um Berechtigungen zu gewähren, die die Azure AD Connector App in Jamf Pro anfragt.

  8. Konfigurieren Sie nach Abschluss der Anfrage in Jamf Pro die Einstellungen im Tab „Serverkonfiguration“. Beachten Sie Folgendes:

    • Der für die Konfiguration angezeigte Name muss eindeutig sein.

    • Der Wert „Tenant ID (Mandanten-ID)“ wird mit Informationen von Microsoft vorausgefüllt.

    • Wenn Single Sign-On (SSO) mit Azure in Jamf Pro konfiguriert ist, wählen Sie Transitive Gruppen für SSO aus, um transitive Mitgliedschaftssuchen im Benutzer- und Gruppenverzeichnis zu erzwingen. Dadurch wird sichergestellt, dass alle Azure Gruppen, in denen eine Gruppe Mitglied ist, in eine Verzeichnissuche einbezogen werden. Es ist nicht notwendig, rekursive Abfragen auszuführen, um Gruppen aufzulisten, in denen ein Benutzer Mitglied ist. Sie können eine spezifische Benutzerzuweisung im Feld Benutzerzuordnung aus der SAML-Assertion konfigurieren. Dadurch können Sie die Zuordnung von Benutzernamen während transitiver Mitgliedschaftsanfragen anpassen und die Benutzer-ID aus den SAML Einstellungen für Single Sign-On in der Azure Konfiguration abgleichen.

    • Es wird empfohlen als Wert für den Verbindungstyp „5“ festzulegen.

  9. Verwenden Sie den Tab „Zuordnungen“, um Zuordnungen für Benutzer- und Gruppenattribute festzulegen. Lesen Sie den Abschnitt „Standardattributzuordnungen für Azure AD als cloudbasierten Identitätsdienst“ unten, um eine Referenz für Standardzuordnungen zu erhalten, und verwenden Sie diese bei der Behebung von Verbindungsfehlern.

    Wichtig: Um die ordnungsgemäße Funktion der Konfiguration zu gewährleisten, beachten Sie Folgendes:

    • Die Werte für die Benutzer-ID-Zuordnung müssen den Parameter $filter in Azure AD unterstützen.

    • Der Wert für die Gruppen-ID-Zuordnung wird standardmäßig auf „id“ festgelegt und kann nicht geändert werden.

  10. Klicken Sie auf Speichern images/download/thumbnails/85400284/floppy-disk.png .

Beim Speichern einer Serververbindung startet automatisch eine Überprüfung. Nachdem die Konfiguration gespeichert wurde, können Sie Ihre Zuordnungen testen. Weitere Informationen finden Sie unter Testen von Attributzuordnungen.

Standardattributzuordnungen für Azure AD als cloudbasierten Identitätsdienst

In der folgenden Tabelle sind die Jamf Pro Standardzuordnungen und die entsprechenden Attribute des cloudbasierten Identitätsdienstes aufgeführt:

Jamf Pro Attributzuordnungsname

Attributzuordnungswert vom cloudbasierten Identitätsdienst

userId

id

userName

userPrincipalName

realName

displayName

email

mail

department

department

building

 

room

 

phone

mobilePhone

position

jobTitle

groupId

id

groupName

displayName

Weitere Informationen zu Zuordnungssätzen finden Sie in der folgenden Dokumentation von Microsoft:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2021 Jamf. Alle Rechte vorbehalten.