Konfigurieren von Jamf Connect Login für Microsoft Azure AD

Sie können Jamf Connect Login konfigurieren, indem Sie Einstellungsschlüssel festlegen.

Mithilfe dieser Einstellungsschlüssel können alle Funktionen von Jamf Connect Login vollständig konfiguriert werden. Sie können Einstellungen anhand mehrerer Methoden festlegen:

  • Erstellen Sie mithilfe von Jamf Connect Configuration ein Konfigurationsprofil.
    Weitere Informationen finden Sie unter Jamf Connect Configuration.

  • Erstellen Sie manuell mithilfe eines Texteditors ein Konfigurationsprofil.

  • Übernehmen Sie die Einstellungen durch Ausführen des Befehls defaults write.

Hinweis: Mit dem Befehl defaults können mit einer MDM-Lösung konfigurierte Einstellungen nicht angezeigt werden.

Einstellungsschlüssel für Jamf Connect Login müssen an folgendem Speicherort hinterlegt werden:

/Library/Preferences/com.jamf.connect.login.plist

Diese PLIST-Datei wird nicht von Jamf Connect Login erstellt. Sie müssen sie manuell erstellen.

Wenn Sie Jamf Pro nutzen, müssen Sie das Konfigurationsprofil signieren, bevor Sie es hochladen. Weitere Informationen finden Sie im Artikel Deploying Custom Configuration Profiles using Jamf Pro (Bereitstellen benutzerdefinierter Konfigurationsprofile mit Jamf Pro) in der Informationsdatenbank.

Nachfolgend finden Sie ein Beispiel für den Inhalt einer PLIST-Datei, die zum Konfigurieren von Jamf Connect Login verwendet werden kann:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OIDCProvider</key>
<string>Azure</string>
<key>OIDCROPGID</key>
<string>3bdd52c7-ee36-4689-8517-c5fed2c98s5</string>
<key>OIDCClientID</key>
<string>3bdd52c7-ee36-4689-8517-c5fed2c98s5</string>
</dict>
</plist>

Einstellungsschlüssel

Die folgenden Tabellen enthalten die Schlüssel-Wert-Paare aller Einstellungen, die für Jamf Connect Login festgelegt werden können.

Hinweis: Nicht konfigurierte boolesche Schlüsselwerte haben, sofern nicht anders angegeben, standardmäßig den Wert „false“.

Erforderliche Schlüssel-Wert-Paare

Schlüssel

Beschreibung

Beispiel

OIDCProvider

Legt fest, dass Microsoft Azure AD als Identitätsdienst verwendet wird.

<key>OIDCProvider</key>

<string>Azure</string>

OIDCClientID

Die für die Authentifizierung des Benutzers verwendete Anwendungs-ID der bei Ihrem Identitätsdienst registrierten App.

<key>OIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCROPGID

Die Anwendungs-ID der bei Ihrem Identitätsdienst registrierten App, die für die Authentifizierung des Benutzerpassworts über eine Ressourcenbesitzer-Kennwortgewährung (ROPG) verwendet wird. Dieser Wert sollte üblicherweise mit dem Einstellungsschlüssel „OIDCClientID“ übereinstimmen.

<key>OIDCROPGID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

Optionale Schlüssel-Wert-Paare

Mit optionalen Schlüssel-Wert-Paaren kann das Benutzererlebnis von Jamf Connect Login und der Prozess für die Accounterstellung angepasst werden.

Einstellungen für die Accounterstellung

Schlüssel

Beschreibung

Beispiel

CreateAdminUser

Mit der Einstellung „true“ erhalten neue Benutzer, die auf dem Computer lokal erstellt werden, automatisch Administratorberechtigungen.

<key>CreateAdminUser</key>

<false/>

CreateVerifyPasswords

Legt fest, ob für Jamf Connect Verify ein Eintrag im Schlüsselbund erstellt wird.

<key>CreateVerifyPasswords</key>

<true/>

DemobilizeUsers

Legt fest, ob auf vorhandene Active Directory Mobilgeräteaccounts der Mechanismus „DeMobilize“ angewendet wird, wodurch ein Mobilgeräteaccount in einen lokalen Account umgewandelt wird.

<key>DemobilizeUsers</key>

<false/>

DenyLocal

Gibt an, ob Benutzer die Netzwerkauthentifizierung umgehen und in loginwindow die Taste Local Auth (Lokale Authentifizierung) verwenden können.

Mit der Einstellung „true“ ist die Taste Local Auth (Lokale Authentifizierung) nicht verfügbar und der Benutzer muss sich beim Netzwerk authentifizieren.

Mit der Einstellung „false“ ist die Taste Local Auth (Lokale Authentifizierung) verfügbar und der Benutzer kann sich wahlweise lokal authentifizieren.

<key>DenyLocal</key>

<false/>

DenyLocalExcluded

Legt fest, welche Benutzer sich auch dann lokal authentifizieren können, wenn der Schlüssel DenyLocal auf „true“ gesetzt ist.

<key>DenyLocalExcluded</key>

<array>

<string>Benutzer-1</string>

<string>Benutzer-2</string>

<string>Benutzer-3</string>

<string>Benutzer-4</string>

</array>

LicenseFile

Der Inhalt einer im Base64-Datenformat kodierten „.jamfconnectlicense“-Datei.

Hinweis: Es wird empfohlen, Ihren Lizenzschlüssel in einem separaten Konfigurationsprofil zu speichern, das von Ihrem Account Manager bereitgestellt wird.

<key>LicenseFile</key>

<data>encoded-license-content</data>

LocalFallback

Kann zusammen mit dem Schlüssel DenyLocal verwendet werden, um zunächst die Authentifizierung beim Identitätsdienst zu erzwingen, jedoch im Fehlerfall, wenn der Identitätsdienst nicht verfügbar ist, auf eine lokale Authentifizierung auszuweichen.

<key>LocalFallback</key>

<true/>

Migrate

Ermöglicht die Migration lokaler Accounts zu Netzwerkaccounts.

Dieser Schlüssel wird normalerweise verwendet, wenn der Benutzeraccount bereits auf dem System existiert, Sie aber denselben Benutzernamen und dasselbe Passwort für die Cloud-Identität des Benutzers verwenden wollen.

Dies wird von Jamf Connect Login durch Erzwingen der Anmeldung beim Identitätsdienst und anschließendes Abgleichen des Benutzers mit einem bestehenden lokalen Account erreicht. Folgende Migrationsszenarien sind denkbar:

  • Wenn der Netzwerkbenutzername und das zugehörige Passwort mit einem lokalen Benutzernamen und zugehörigen Passwort übereinstimmen, gilt der Account als migriert. Es sind keine zusätzlichen Schritte erforderlich.

  • Wenn der Netzwerkbenutzername eines Benutzers mit einem lokalen Benutzernamen übereinstimmt, die Passwörter sich jedoch unterscheiden, wird der Benutzer zur Eingabe seines aktuellen lokalen Passwort aufgefordert. Nach der erfolgreichen Eingabe des Passworts werden von Jamf Connect Login das aktuelle lokale Passwort und das aktuelle Netzwerkpasswort verwendet, um den Account mit dem aktuellen Netzwerkpasswort zu synchronisieren.

  • Wenn der Netzwerkbenutzername eines Benutzers mit keinem der lokalen Accounts übereinstimmt, erhält der Benutzer die Option, einen lokalen Account zu erstellen oder zu migrieren. Um einen Account zu migrieren, muss der Benutzer das bestehende lokale Passwort eingeben. Dann wird das Passwort von Jamf Connect Login mit dem Netzwerkpasswort synchronisiert. Anschließend wird der Netzwerkbenutzername dem lokalen Account als Alias hinzugefügt. Somit kann sich der Benutzer mit seinem Netzwerkbenutzernamen beim System anmelden.

Zusätzlich können Benutzer mit Identitätsdiensten von lokalen Accounts auf Accounts migriert werden, die einer Netzwerkidentität zugeordnet sind. Mit den Einstellungsschlüsseln Migrate und DenyLocal erfolgt die Authentifizierung bei allen nachfolgenden Anmeldungen beim Identitätsdienst. Anschließend wird vom System geprüft, ob der Benutzerdatensatz ein „IdPUser“-Attribut aufweist. Wenn dieses Attribut nicht verifiziert werden kann, wird der Benutzer aufgefordert, einen lokalen Account auszuwählen, der mit dem Netzwerkaccount verknüpft werden soll. Wenn der Kurzname des lokalen Accounts nicht mit dem Netzwerkkurznamen übereinstimmt, wird der Netzwerkname dem Account als Alias hinzugefügt, sodass der Benutzer beide verwenden kann. Somit müssen keine Änderungen am Benutzerordner und anderen Elementen des Benutzerdatensatzes vorgenommen werden.

Hinweis: Bei jeder erfolgreichen Netzwerkauthentifizierung eines Benutzers wird der Benutzerdatensatz mit dem Attribut „NetworkSignIn“ aktualisiert. Wenn der Benutzer sich nur lokal authentifiziert hat, wird das Attribut nicht aktualisiert.

<key>Migrate</key>

<false/>

MigrateUsersHide

Legt fest, welche lokalen Accounts nicht im Pulldown-Menü für die Migration angezeigt werden.

<key>MigrateUsersHide</key>

<array>

<string>admin</string>

<string>ladmin</string>

</array>

RightsTmpCache

Gibt bei Verwendung der Regel „AuthUI“ an, ob als Cache-Speicher für Tokens /tmp/cachedata verwendet wird.

<key>RightsTmpCache</key>

<false/>

UIDTool

Gibt den Pfad zu einem UID-Tool an, mit dem Sie bei der Kontoerstellung als UID eines lokalen Benutzerkontos einen benutzerdefinierten Wert festlegen können. Dieser kann dazu verwendet werden, die UID des lokalen Benutzers mit dem zugehörigen LDAP-UID-Attribut zu verknüpfen. Bei Ihrem UID-Tool muss es sich um ein ausführbares Skript handeln.

<key>UIDTool</key>

<string>/Users/Shared/UIDTool</string>

Einstellungen für OpenID Connect

Schlüssel

Beschreibung

Beispiel

OIDCNewPassword

 

Wenn dieser Schlüssel auf „true“ festgelegt ist, wird der Benutzer aufgefordert, für seinen neuen lokalen Account ein neues Passwort zu erstellen.

Ist der Schlüssel auf „false“ festgelegt, wird der Benutzer aufgefordert, sein Netzwerkpasswort erneut einzugeben. Dieses wird dann als Passwort für den lokalen Account übernommen. So ist sichergestellt, dass das Netzwerkpasswort und das lokale Passwort des Benutzers beim Erstellen des Benutzers synchronisiert werden.

Hinweis: Dieser Schlüssel ist standardmäßig auf „true“ festgelegt.

<key>OIDCNewPassword</key>

<true/>

OIDCAdmin

Gibt an, welche Benutzergruppen bei der Accounterstellung lokal mit der Rolle „Admin“ angelegt werden. Sie können eine Benutzergruppe als Zeichenfolge oder mehrere Benutzergruppen als Array von Zeichenfolgen eingeben.

Hinweis: Standardmäßig wird von Jamf Connect Login das Attribut „groups“ im ID-Token des Benutzers ausgewertet, um festzulegen, ob der Benutzer lokal mit der Rolle „Admin“ angelegt wird. Verwenden Sie für ein anderes bei der Benutzererstellung zu verwendendes Attribut den Einstellungsschlüssel „OIDCAdminAtttribute“.

<key>OIDCAdmin</key>

<string>Rolle</string>

 

oder

 

<key>OIDCAdmin</key>

<array>

<string>Rolle-1</string>

<string>Rolle-2</string>

<string>Rolle-3</string>

<string>Rolle-4</string>

</array>

OIDCAdminAttribute

Gibt an, mit welchem in einem ID-Token gespeicherten Attribut bestimmt wird, ob ein Benutzer lokal mit der Rolle „Standard“ oder „Admin“ angelegt wird. Standardmäßig wird von Jamf Connect Login für alle mit dem Einstellungsschlüssel „OIDCAdmin“ festgelegten Werte das Attribut „groups“ ausgewertet.

Hinweis: Bei Verwendung von Azure müssen Sie das Attribut „roles“ verwenden, um die einem Benutzer bei der Accounterstellung lokal zugewiesene Rolle festzulegen.

<key>OIDCAdminAttribute</key>

<string>attribut-einfügen</string>

OIDCClientSecret

Das Client-Geheimnis, das nur Jamf Connect Login und Ihrem Identitätsdienst bekannt ist.

<key>OIDCClientSecret</key>

<string>hier-client-geheimnis-einfügen</string>

OIDCIgnoreAdmin

Mit der Einstellung „true“ werden von Jamf Connect Login alle Rollen ignoriert, die im Identitätsdienst möglicherweise festgelegt sind. Durch die Verwendung dieses Schlüssels wird sichergestellt, dass der einem lokalen Benutzeraccount aktuell zugewiesene Status („Admin“ oder „Standard“) nicht geändert wird.

Mit der Einstellung „false“ oder „unspecified“ wird von Jamf Connect Login zum Konfigurieren von Rollen der Schlüssel „OIDCAdmin“ verwendet und der Status des lokalen Benutzeraccounts wird ausgehend von eventuell im Identitätsdienst festgelegten Rollen geändert.

<key>OIDCIgnoreAdmin</key>

<true/>

OIDCRedirectURI

Die Weiterleitungs-URI, die von der in Azure AD registrierten Jamf Connect App verwendet wird.

Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige URI festgelegt werden. Der in Azure AD festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen.

<key>OIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

OIDCTenant

Gibt die Mandanten-ID Ihrer Organisation an, die für die Authentifizierung verwendet wird.

<key>OIDCTenant</key>

<string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>

OIDCDiscoveryURL

Die Ermittlungs-URL dient der Speicherung von OIDC Konfigurationseinstellungen bei Verwendung benutzerdefinierter Identitätsanbieter.

Hinweis: Dieser Schlüssel ist erforderlich, wenn der Schlüssel OIDCProvider auf Custom eingestellt ist.

<key>OIDCDiscoveryURL</key>

<string>https://identitätsanbieter-beispieladresse.de/.pfad-zur/openid-konfiguration</string>

OIDCIgnoreCookies

Sorgt dafür, dass von loginwindow gespeicherte Cookies ignoriert werden.

<key>OIDCIgnoreCookies</key>

<true/>

Pluggable Authentication Module (PAM)

Schlüssel

Beschreibung

Beispiel

AuthUIOIDCProvider

Gibt den mit dem PAM zu verwendenden Identitätsdienst an.

<key>AuthUIOIDCProvider<key>

<string>identitätsanbieter-einfügen</string>

AuthUIOIDCClientID

Die für die Authentifizierung des Benutzers verwendete Client-ID der App, die bei Ihrem Identitätsdienst registriert wurde.

<key>AuthUIOIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

Die Weiterleitungs-URI, die von der bei Ihrem Identitätsdienst registrierten App verwendet wird.

<key>AuthUIOIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

Gibt an, welcher in Ihrem Identitätsdienst festgelegte Mandant zusammen mit dem PAM verwendet werden soll.

Hinweis: Wenn Sie als Identitätsdienst Okta verwenden, muss dieser Schlüssel angegeben werden.

<key>AuthUIOIDCTenant</key>

<string>dev-123456</string>

AuthUIOIDCClientSecret

Das Client-Geheimnis, das von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird. Dieser Wert ist nur Jamf Connect und Ihrem Identitätsdienst bekannt.

<key>AuthUIOIDCClientSecret</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

Einstellungen für Nachrichten und Erscheinungsbild

Schlüssel

Beschreibung

Beispiel

BackgroundImage

Pfad zu einer lokal gespeicherten Bilddatei, die als Hintergrund für das Anmeldefenster verwendet wird.

<key>BackgroundImage</key>

<string>/usr/local/shared/background.jpg</string>

LoginLogo

Pfad zu einer lokal gespeicherten Bilddatei, die als Logo bei der Passwortvalidierung oder der Erstellung eines lokalen Passworts verwendet wird.

Hinweis: Es wird ein Bild mit einer Größe von 250 x 250 Pixeln empfohlen.

<key>LoginLogo</key>

<string>/usr/local/images/logo.png</string>

Einstellungen für die Hilfe

Schlüssel

Beschreibung

Beispiel

AllowNetwork Selection

Wenn dieser Einstellungsschlüssel auf „true“ gesetzt ist, kann der Benutzer die Einstellungen für die Netzwerkverbindung im Anmeldefenster konfigurieren und bestätigen. Auf diese Funktion kann vom Benutzer unten rechts im Anmeldefenster durch Klicken auf Netzwerkverbindung zugegriffen werden.

Hinweis: Um die Sicherheit der Computer zu gewährleisten, kann der Benutzer im Anmeldefenster kein offenes WLAN-Netzwerk auswählen.

<key>AllowNetworkSelection</key>

<true/>

HelpURL

Geben Sie eine URL an, die im Anmeldefenster angezeigt wird und über die der Benutzer zu unterstützenden Ressourcen für die Einarbeitung oder die Registrierung zugreifen kann.

<key>HelpURL</key>

<string>yourcompany.help.com</string>

HelpURLLogo

Fügen Sie ein benutzerdefiniertes Bild hinzu, das als anklickbares Logo angezeigt wird und über das die festgelegte Hilfe-URL aufgerufen wird.

Hinweis: Der Schlüssel HelpURL muss konfiguriert werden.

<key>HelpURLLogo</key>

<string>/usr/local/shared/helplogo.png</string>

LocalHelpFile

Pfad zu einer lokalen Datei, auf die der Benutzer durch Klicken auf die Taste „Help (Hilfe)“ im Fenster von Jamf Connect Login zugreifen kann. Diese Datei wird nur angezeigt, wenn vom Computer keine Verbindung zum Internet hergestellt und die in dem Schlüssel HelpURL aufgeführte URL nicht aufgerufen werden kann.

Hinweis: Es werden unter anderem die Dateitypen PDF und HTML unterstützt.

<key>LocalHelpFile</key>

<string>/usr/local/shared/JamfConnectHelp.pdf</string>

Einstellungen für FileVault
Schlagen Sie zur Aktivierung von FileVault auf Computern mithilfe von Jamf Connect im Artikel Verwenden von FileVault mit Jamf Connect in der Informationsdatenbank nach.

Schlüssel

Beschreibung

Beispiel

EnableFDE

Gibt an, ob FileVault von Jamf Connect Login beim ersten Benutzer aktiviert wird, der sich anmeldet.

<key>EnableFDE</key>

<true/>

EnableFDERecoveryKey

Bei der Einstellung „true“ wird der Wiederherstellungsschlüssel von FileVault unter /var/db/NoMADFDE gespeichert, sofern kein anderer Speicherort angegeben wird.

<key>EnableFDERecoveryPath</key>

<true/>

EnableFDERecoveryKeyPath

Legt einen benutzerdefinierten Pfad für den Wiederherstellungsschlüssel fest.

<key>EnableFDERecoveryPath</key>

<string>/usr/local/filevault</string>

Einstellungen für den „EULA“-Mechanismus

Hinweis: Sie müssen den „EULA“-Mechanismus zunächst aktivieren, bevor Sie die zugehörigen Einstellungen konfigurieren können. Informationen zum Hinzufügen des „EULA“-Mechanismus zu Jamf Connect Login finden Sie unter Hinzufügen des „EULA“-Mechanismus.

Schlüssel

Beschreibung

Beispiel

EULAPath

Gibt eine Datei an, in der der Datensatz des Benutzers zur Endbenutzer-Lizenzvereinbarung (EULA) gespeichert wird.

<key>EULAPath</key>

<string>/usr/local/shared/EULA.txt</string>

EULAText

Der für die Endbenutzer-Lizenzvereinbarung verwendete Text.

<key>EULAText</key>

<string>Hier EULA-Text einfügen</string>

EULATitle

Titel des Textes in der Endbenutzer-Lizenzvereinbarung.

<key>EULATitle</key>

<string>Endbenutzer-Lizenzvereinbarung</string>

EULASubTitle

Untertitel für den Text in der Endbenutzer-Lizenzvereinbarung.

<key>EULASubTitle</key

<string>Allgemeine Nutzungsbedingungen</string>

Einstellungen für Skripte

Hinweis: Sie müssen den „RunScript“-Mechanismus zunächst aktivieren, bevor Sie die zugehörigen Skripteinstellungen konfigurieren können. Informationen zum Hinzufügen des „RunScript“-Mechanismus zu Jamf Connect Login finden Sie unter Hinzufügen des „RunScript“-Mechanismus.

Schlüssel

Beschreibung

Beispiel

ScriptArgs

Die Argumente, die mit einem bestimmten Skript verwendet werden sollen, das mithilfe des Mechanismus „RunScript“ ausgeführt wird.

Hinweis: Der Schlüssel ScriptPath muss konfiguriert werden.

<key>ScriptArgs</key>

<array>

<string>-v</string>

<string>-user</string>

</array>

ScriptPath

Gibt den Pfad zu einem Skript oder zu einer anderen ausführbaren Datei an, die mit dem Mechanismus „RunScript“ ausgeführt werden soll. Sie können mit Jamf Connect Login immer nur ein Skript gleichzeitig verwenden.

<key>ScriptPath</key>

<string>/usr/local/bin/login</string>

Hybrididentität

Diese Schlüssel können verwendet werden, um über OpenID Connect durchgeführte Authentifizierungsvorgänge von der Passwortverifizierung zu trennen, die über eine Ressourcenbesitzer-Kennwortgewährung (ROPG) durchgeführt wird. Dies ist für die Konfiguration von Jamf Connect bei Verwendung von Hybrididentitätslösungen erforderlich.

Weitere Informationen über Hybrididentitäten bei Azure AD finden Sie in den folgenden Artikeln in der Informationsdatenbank:

Schlüssel

Beschreibung

Beispiel

ROPGProvider

Hiermit wird festgelegt, bei welchem Dienst die Ressourcenbesitzer-Kennwortgewährung (ROPG) erfolgt. Folgende Werte werden unterstützt:

  • Benutzerdefiniert

  • Azure_v2

Wenn Sie Azure AD mit ADFS verwenden, stellen Sie als Wert „Custom“ ein.

Wenn eine Passwortsynchronisierung mit Hashwerten oder eine Passthrough-Authentifizierung zum Einsatz kommt wird, stellen Sie als Wert „Azure_v2“ ein. Dies ermöglicht die Verwendung der Endpunkte von Microsoft Identity Platform (v2.0) zur Authentifizierung in Jamf Connect Login.

Weitere Informationen über durch Microsoft Identity Platform (v2.0) finden Sie in der folgenden Dokumentation von Microsoft:
https://docs.microsoft.com/de-de/azure/active-directory/develop/azure-ad-endpoint-comparison

<key>ROPGProvider</key>

<string>Custom</string>

ROPGTenant

Hierbei handelt es sich um die Mandanten-ID, die in Ihrer Organisation für die Authentifizierung per Ressourcenbesitzer-Kennwortgewährung (ROPG) verwendet werden soll.

Hinweis: Dieser Schlüssel muss konfiguriert werden, wenn für den Schlüssel ROPGProvider der Wert „Azure_v2“ festgelegt wird.

<key>ROPGTenant</key>

<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>

ROPGDiscoveryURL

Gibt den Endpunkt für die Ermittlung per OpenID Connect an. Wenn Sie ADFS verwenden, müssen Sie als Wert Ihre ADFS Domäne sowie Folgendes angeben: „/adfs/.bekannte/openid-konfiguration“

Beispiel:https://adfs.jamfconnect.com/adfs/.bekannte/openid-konfiguration

Hinweis: Dieser Schlüssel muss konfiguriert werden, wenn für den Schlüssel ROPGProvider der Wert „Custom“ festgelegt wird.

<key>ROPGDiscoveryURL</key>

<string>https://adfs.jamfconnect.com/adfs/.bekannte/openid-konfiguration</string>

ROPGRedirectURI

Die Weiterleitungs-URI, die von der erstellten Anwendung für ADFS oder Azure AD verwendet wird.

Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige gültige URI festgelegt werden. Der in Azure AD oder ADFS festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen.

<key>ROPGRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

ROPGClientSecret

Das Client-Geheimnis Ihrer Jamf Connect Anwendung. Beachten Sie beim Konfigurieren eines Client-Geheimnisses Folgendes:

  • Wenn Sie für eine ROPG-Authentifizierung kein Client-Geheimnis verwenden, legen Sie als Wert „NONE“ fest.

  • Wenn Sie für die ROPG-Authentifizierung und die Autorisierungsgewährung bei Azure AD dasselbe Client-Geheimnis verwenden, konfigurieren Sie diesen Schlüssel nicht. Das mit dem Schlüssel OIDCClientSecret festgelegte Geheimnis wird von Jamf Connect Login sowohl für die Authentifizierung als auch die Passwortverifizierung verwendet.

  • Wenn Sie für beide Authentifizierungsvorgänge jeweils ein anderes Client-Geheimnis verwenden, müssen Sie sowohl den Schlüssel OIDCClientSecret als auch den Schlüssel ROPGClientSecret mit entsprechenden Werten konfigurieren.

<key>ROPGClientSecret</key>

<string>ihr-client-geheimnis</string>

ROPGSuccessCodes

Ein Array von Zeichenfolgen mit Fehlercodes aus Azure, die von Jamf Connect während der Verifizierung eines Passworts mittels Ressourcenbesitzer-Kennwortgewährung (ROPG) als „erfolgreich“ interpretiert werden müssen. Sonstige Fehlercodes, die Sie möglicherweise in Ihrer Umgebung konfigurieren müssen, finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/de-de/azure/active-directory/develop/reference-aadsts-error-codes

<key>ROPGSuccessCodes</key>

<array>

<string>AADSTS50012</string>

<string>AADSTS50131</string>

</array>


Weiterführende Informationen

Weiterführende Informationen über Jamf Connect Login finden Sie in den folgenden Abschnitten dieses Leitfadens:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.