Integration in Okta

Überblick

Okta funktioniert durch direkten Zugriff auf Ihren Okta Endpunkt mithilfe der API für die Authentifizierung. Zum Aktivieren von Funktionen müssen keine Änderungen auf dem Administrator-Dashboard von Okta vorgenommen werden.

Mit Okta wird der Benutzer nicht direkt beim Computer authentifiziert. Stattdessen wird der folgende Hintergrundprozess ausgeführt:

  1. Mit dem Mechanismus werden der Benutzername und das Passwort des Benutzers erfasst. Anschließend wird der Benutzer lokal verifiziert.

  2. Mit dem Mechanismus wird eine der folgenden Aktionen ausgeführt:

    • Wenn der Benutzername mit einem lokalen Benutzer übereinstimmt, werden der Benutzername und das Passwort in den Daten des Sicherheitsservers abgelegt. Anschließend wird mit dem nächsten Mechanismus im Authentifizierungsprozess fortgefahren.

    • Wenn der Benutzername mit keinem lokalen Benutzer übereinstimmt oder gemäß einer vorhandenen Konfiguration immer eine Authentifizierung bei Okta vorgenommen werden soll, wird die Okta API für die Authentifizierung zur Überprüfung des Benutzernamens und des Passworts verwendet.

Integration in Okta

Jamf Connect bietet Unterstützung für Okta. Für die Integration von Jamf Connect in Okta müssen Sie die folgenden Schritte ausführen:

  1. Den Mechanismus CheckOkta aktivieren.

  2. (Optional) Jamf Connect in OpenID Connect (OIDC) integrieren.

  3. Jamf Connect konfigurieren und bereitstellen

Schritt 1: Aktivieren des Mechanismus „CheckOkta“

Zwar müssen zum Aktivieren von Funktionen keine Änderungen auf dem Administrator-Dashboard von Okta vorgenommen werden, jedoch müssen Sie den von Jamf Connect Login installierten Mechanismus CheckOIDC zu CheckOkta ändern. Führen Sie zum Anpassen des loginwindow Mechanismus einen der folgenden Schritte aus:

  • Benennen Sie das Installationspaket von Jamf Connect Login um und nehmen Sie das Wort „Okta“ in den Namen auf. Auf diese Weise wird der Mechanismus CheckOkta automatisch mit authchanger aktiviert.

  • Führen Sie den folgenden Befehl manuell mithilfe von authchanger aus:

    /usr/local/bin/authchanger -reset -Okta 

Weitere Informationen zum Ausführen von Befehlen mit authchanger finden Sie unter authchanger.

(Optional) Schritt 2: Integrieren von Jamf Connect in OIDC

Wenn Sie die mit OIDC verfügbaren konfigurierbaren Einstellungen nutzen möchten, z. B. um festzulegen, ob lokale Benutzer mit der Rolle „Admin“ oder „Standard“ angelegt werden, müssen Sie in der Okta Administratorkonsole eine Jamf Connect App integrieren.

Hinweis: Bei Verwendung von Okta sollten Sie OIDC ausschließlich zur Zuweisung unterschiedlicher Rollen beim Anlegen lokaler Accounts nutzen. Die Authentifizierung mit OIDC wird bei Verwendung von Okta nicht empfohlen.

Integrieren einer Anwendung

  1. Melden Sie sich bei der Administratorkonsole von Okta an.

  2. Klicken Sie auf Applications (Anwendungen).

  3. Klicken Sie auf Add Application (Anwendung hinzufügen) und anschließend auf Create New App (Neue App erstellen).

  4. Führen Sie im Fenster „Create a New Application Integration (Neue Anwendung integrieren)“ folgende Schritte aus:

    1. Wählen Sie im Einblendmenü Platform (Plattform) die Option „Native App (Native App)“ aus.

    2. Wählen Sie OpenID Connect.

    3. Klicken Sie auf Erstellen.

  5. Führen Sie auf der Seite „Create OpenID Connect Integration (In OpenID Connect integrieren)“ folgende Schritte aus:

    1. Geben Sie im Feld Application name (Anwendungsname) einen Namen für Ihre App ein, z. B. „Jamf Connect“.

    2. (Optional) Laden Sie ein Logo für Ihre Anwendung hoch.

    3. Geben Sie im Feld Login redirect URIs (Weiterleitungs-URIs für Anmeldung) eine gültige URI ein, z. B. „jamfconnect://127.0.0.1/jamfconnect“.

    4. Klicken Sie auf Speichern.

Anpassen von Erteilungstypen

  1. Wählen Sie Ihre zuvor erstellte Jamf Connect App aus.

  2. Nehmen Sie im Bereich „General (Allgemein)“ folgende Einstellungen vor:

    1. Wählen Sie unter „Allowed Grant Type (Zulässiger Erteilungstyp)“ die Option „Implicit (Hybrid) (Implizit [Hybrid]) aus.

    2. Wählen Sie die Optionen „Allow ID Token with implicit grant type (ID-Token mit implizitem Erteilungstyp zulassen)“ und „Allow Access Token with implicit grant type (Zugriffstoken implizitem Erteilungstyp zulassen)“.

    3. Klicken Sie auf Speichern.

Wenn Sie während der Erstellung eines lokalen Accounts mit Jamf Connect Login festlegen möchten, ob der Benutzer mit der Rolle „Admin“ oder „Standard“ angelegt wird, wiederholen Sie die beschriebenen Schritte, um zwei Jamf Connect Apps zu integrieren: eine für Benutzer mit der Rolle „Standard“ und eine für Benutzer mit der Rolle „Admin“.

Zuweisen von Benutzern und Gruppen

Sie müssen Ihrer Jamf Connect App Benutzer und Gruppen zuweisen.

Eine entsprechende Anleitung finden Sie in der folgenden Dokumentation von Okta: https://help.okta.com/en/prod/Content/Topics/Apps/Apps_Apps_Page.htm

Hinweis: Wenn Sie zwei Jamf Connect Apps integriert haben, müssen Sie einer App alle Benutzer mit der Rolle „Standard“ und beiden Apps alle Benutzer mit der Rolle „Admin“ zuweisen. Diese Apps werden mit den Einstellungsschlüsseln OIDCAccessClientID und OIDCAdminClientID im Ihrem Konfigurationsprofil für Jamf Connect Login angegeben.

Aktivieren der Multi-Faktor-Authentifizierung

Wenn Sie für Benutzer die Multi-Faktor-Authentifizierung (MFA) aktivieren möchten, müssen Sie die MFA auf Organisationsebene statt auf App-Ebene aktivieren. Navigieren Sie zum Aktivieren der MFA auf dem Administrator-Dashboard von Okta zu Security (Sicherheit) > Authentication (Authentifizieren) > Sign On (Anmelden) und erstellen Sie dann eine neue Anmelderichtlinie.

Hinweis: Die Aktivierung der MFA auf App-Ebene wird nicht empfohlen und kann zu Fehlern in Jamf Connect führen.

Weitere Informationen über die MFA bei Verwendung von Okta finden Sie in der folgenden Dokumentation von Okta:

Schritt 3: Konfigurieren und Bereitstellen von Jamf Connect

Jamf Connect wird ähnlich wie andere unter macOS zu installierende Anwendungen mithilfe eines Installationspakets bereitgestellt.

Weiterführende Informationen über die Konfiguration und Bereitstellung von Jamf Connect finden Sie in den folgenden Abschnitten dieses Leitfadens:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.