Konfigurieren von Jamf Connect Login für Okta

Sie können Jamf Connect Login konfigurieren, indem Sie Einstellungsschlüssel festlegen.

Mithilfe dieser Einstellungsschlüssel können alle Funktionen von Jamf Connect Login vollständig konfiguriert werden. Sie können Einstellungen anhand mehrerer Methoden festlegen:

  • Erstellen Sie mithilfe von Jamf Connect Configuration ein Konfigurationsprofil.
    Weitere Informationen finden Sie unter Jamf Connect Configuration.

  • Erstellen Sie manuell mithilfe eines Texteditors ein Konfigurationsprofil.

  • Übernehmen Sie die Einstellungen durch Ausführen des Befehls defaults write.

Hinweis: Mit dem Befehl defaults können mit einer MDM-Lösung konfigurierte Einstellungen nicht angezeigt werden.

Einstellungsschlüssel für Jamf Connect Login müssen an folgendem Speicherort hinterlegt werden:

/Library/Preferences/com.jamf.connect.login.plist

Diese PLIST-Datei wird nicht von Jamf Connect Login erstellt. Sie müssen sie manuell erstellen.

Wenn Sie Jamf Pro nutzen, müssen Sie das Konfigurationsprofil signieren, bevor Sie es hochladen. Weitere Informationen finden Sie im Artikel Deploying Custom Configuration Profiles using Jamf Pro (Bereitstellen benutzerdefinierter Konfigurationsprofile mit Jamf Pro) in der Informationsdatenbank.

Nachfolgend finden Sie ein Beispiel für den Inhalt einer PLIST-Datei, die zum Konfigurieren von Jamf Connect Login verwendet werden kann:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AuthServer</key>
<string>ihrunternehmen.okta.com</string>
<key>DemobilizeUsers</key>
<true/>
<key>CreateAdminUser</key>
<true/>
<key>DenyLocal</key>
<true/>
<key>DenyLocalExcluded</key>
<array>
<string>hier-benutzer-einfügen</string>
</array>
<key>HelpURL</key>
<string>hier-hilfe-url-einfügen</string>
<key>EnableFDE</key>
<true/>
<key>LoginLogo</key>
<string>hier-dateipfad-einfügen</string>
<key>BackgroundImage</key>
<string>hier-dateipfad-einfügen</string>
<key>OIDCRedirectURI</key>
<string>jamfconnect://127.0.0.1/jamfconnect</string>
<key>OIDCAccessClientID</key>
<string>hier-client-id-für-zugriff-einfügen</string>
</dict>
</plist>

Einstellungsschlüssel

Die folgenden Tabellen enthalten die Schlüssel-Wert-Paare aller Einstellungen, die für Jamf Connect Login für Okta festgelegt werden können.

Hinweis: Nicht konfigurierte boolesche Schlüsselwerte haben standardmäßig den Wert „false“

Erforderliche Schlüssel-Wert-Paare

Schlüssel

Beschreibung

Beispiel

AuthServer

Gibt die Domäne für die Authentifizierung mit Okta an.

<key>AuthServer</key>

<string>ihrunternehmen.okta.com</string>

Optionale Schlüssel-Wert-Paare

Einstellungen für die Accounterstellung

Schlüssel

Beschreibung

Beispiel

CreateAdminUser

Mit der Einstellung „true“ erhalten neue Benutzer auf dem lokalen Computer automatisch Administratorberechtigungen.

<key>CreateAdminUser</key>

<true/>

CreateSyncPasswords

Legt fest, ob für Jamf Connect Sync ein Eintrag im Schlüsselbund erstellt wird.

<key>CreateSyncPasswords</key>

<true/>

DemobilizeUsers

Gibt an, ob auf Mobilgeräteaccounts der Mechanismus „DeMobilize“ angewendet werden soll.

<key>DemobilizeUsers</key>

<false/>

DenyLocal

Gibt an, ob Benutzer die Netzwerkauthentifizierung umgehen und im Anmeldefenster die lokale Authentifizierung verwenden können.

Wenn dieser Wert auf „true“ eingestellt ist, muss sich der Benutzer bei Okta anmelden und mit dem Netzwerk verbunden sein.

Wenn dieser Wert auf „false“ eingestellt ist, ist weder eine Anmeldung bei Okta noch eine Netzwerkverbindung erforderlich.

Hinweis: Wenn dieser Wert auf „true“ eingestellt ist, sollte der Schlüssel LocalFallback ebenfalls auf „true“ gesetzt werden, um sicherzustellen, dass die Benutzeranmeldung an den Computern auch bei unterbrochener Netzwerkverbindung möglich ist.

<key>DenyLocal</key>

<false/>

DenyLocalExcluded

Legt fest, welche lokalen Benutzer sich dennoch lokal authentifizieren können, wenn der Schlüssel DenyLocal auf „true“ gesetzt ist.

<key>DenyLocalExcluded</key>

<array>

<string>admin</string>

<string>ladmin</string>

</array>

LicenseFile

Der Inhalt einer im Base64-Datenformat kodierten „.jamfconnectlicense“-Datei.

Hinweis: Es wird empfohlen, Ihren Lizenzschlüssel in einem separaten Konfigurationsprofil zu speichern, das von Ihrem Account Manager bereitgestellt wird.

<key>LicenseFile</key>

<data>encoded-license-content</data>

LocalFallback

Kann zusammen mit dem Schlüssel DenyLocal verwendet werden, um zunächst eine Authentifizierung bei Okta zu erzwingen, jedoch im Fehlerfall, wenn Okta nicht verfügbar ist, auf eine lokale Authentifizierung auszuweichen.

<key>LocalFallback</key>

<true/>

Migrate

Ermöglicht die Migration lokaler Accounts zu Accounts auf Basis von Okta.

Dieser Schlüssel wird normalerweise verwendet, wenn der Benutzeraccount bereits auf dem System existiert, Sie aber denselben Benutzernamen und dasselbe Passwort für die Okta Identität des Benutzers verwenden wollen.

Dies wird von Jamf Connect Login durch Erzwingen der Anmeldung bei Okta und anschließendes Abgleichen des Benutzers mit einem bestehenden lokalen Account erreicht. Folgende Migrationsszenarien sind denkbar:

  • Wenn der Okta Benutzername und das zugehörige Passwort mit einem lokalen Benutzernamen und zugehörigen Passwort übereinstimmen, gilt der Account als migriert. Es sind keine zusätzlichen Schritte erforderlich.

  • Wenn der Okta Benutzername eines Benutzers mit einem lokalen Benutzernamen übereinstimmt, die Passwörter sich jedoch unterscheiden, wird der Benutzer zur Eingabe seines aktuellen lokalen Passworts aufgefordert. Nach der erfolgreichen Eingabe des Passworts werden von Jamf Connect Login das aktuelle lokale Passwort und das aktuelle Okta Passwort verwendet, um den Account mit dem aktuellen Okta Passwort zu synchronisieren.

  • Wenn der Okta Benutzername eines Benutzers mit keinem der lokalen Accounts übereinstimmt, erhält der Benutzer die Option, einen lokalen Account zu erstellen oder zu migrieren. Um einen Account zu migrieren, muss der Benutzer das bestehende lokale Passwort eingeben. Dann wird das Passwort von Jamf Connect Login mit dem Okta Passwort synchronisiert. Anschließend wird der Okta Benutzername dem lokalen Account als Alias hinzugefügt. Somit kann sich der Benutzer mit seinem Okta Benutzername beim System anmelden.

Zusätzlich können Benutzer mit Okta von lokalen Accounts auf Accounts migriert werden, die einer Okta Identität zugeordnet sind. Mit den Einstellungsschlüsseln Migrate und DenyLocal erfolgt die Authentifizierung bei allen nachfolgenden Anmeldungen bei Okta. Anschließend wird vom System geprüft, ob der Benutzerdatensatz ein „OktaUser“-Attribut aufweist. Wenn dieses Attribut nicht verifiziert werden kann, wird der Benutzer aufgefordert, einen lokalen Account auszuwählen, der mit dem Okta Account verknüpft werden soll. Wenn der Kurzname des lokalen Accounts nicht mit dem Okta Kurznamen übereinstimmt, wird der Okta Name dem Account als Alias hinzugefügt, sodass der Benutzer beide verwenden kann. Somit müssen keine Änderungen am Benutzerordner und anderen Elementen des Benutzerdatensatzes vorgenommen werden.

Hinweis: Bei jeder erfolgreichen Okta Authentifizierung eines Benutzers wird der Benutzerdatensatz mit dem Attribut „NetworkSignIn“ aktualisiert. Wenn der Benutzer sich nur lokal authentifiziert hat, wird das Attribut nicht aktualisiert.

<key>Migrate</key>

<false/>

MigrateUsersHide

Legt fest, welche lokalen Accounts nicht im Pulldown-Menü für die Migration angezeigt werden.

<key>MigrateUsersHide</key>

<array>

<string>admin</string>

<string>ladmin</string>

</array>

UIDTool

Gibt den Pfad zu einem UID-Tool an, mit dem Sie bei der Kontoerstellung als UID eines lokalen Benutzerkontos einen benutzerdefinierten Wert festlegen können. Dieser kann dazu verwendet werden, die UID des lokalen Benutzers mit dem zugehörigen LDAP-UID-Attribut zu verknüpfen. Bei Ihrem UID-Tool muss es sich um ein ausführbares Skript handeln.

<key>UIDTool</key>

<string>/Users/Shared/UIDTool</string>

Einstellungen für OpenID Connect

Hinweis: Für die Konfiguration des Einstellungsschlüssels für OpenID Connect (OIDC) muss Okta in OIDC integriert werden. Weitere Informationen finden Sie im Abschnitt Integration in Okta in diesem Leitfaden.

Schlüssel

Beschreibung

Beispiel

OIDCAuthServer

Gibt die Domäne für die Authentifizierung mit Okta an, wenn statt der Okta API OpenID Connect für die Authentifizierung verwendet werden soll.

Hinweis: Verwenden Sie die Einstellungsschlüssel „AuthServer“ und „OIDCAuthServer“ nicht im gleichen Konfigurationsprofil.

<key>OIDCAuthServer</key>

<string>ihrunternehmen.okta.com</string>

OIDCAccessClientID

Die OIDC Anwendung, die für den Zugriff auf den Computer verwendet wird.

Hinweis: Alle Benutzer, auch Benutzer mit der Rolle „Admin“, müssen dieser App in Ihrer Okta Administratorkonsole hinzugefügt werden, um auf Jamf Connect Login zugreifen zu können.

<key>OIDCAccessClientID</key>

<string>0oad0gmia54gn3y8923h1</string>

OIDCAdminClientID

Die OIDC Anwendung, die verwendet werden soll, um bei der Erstellung lokaler Accounts zu ermitteln, welchen Accounts die Rolle „Admin“ zugeordnet wird.

Hinweis: Dieser App sollten in Ihrer Okta Administratorkonsole nur Benutzer mit der Rolle „Admin“ hinzugefügt werden.

<key>OIDCAdminClientID</key>

<string>0oa0gwese54gn3y9O0h4</string>

OIDCIgnoreCookies

Sorgt dafür, dass von loginwindow gespeicherte Cookies ignoriert werden.

<key>OIDCIgnoreCookies</key>

<true/>

OIDCSecondaryLoginClientID

Die OIDC Anwendung, die verwendet werden soll, um nach der Erstellung eines ersten Benutzers zu bestimmen, mit welchem Account andere lokale Accounts angelegt werden können.

<key>OIDCSecondaryLoginClientID</key>

<string>0oa0grdsrhdsre54gn3y9O0h4</string>

OIDCRedirectURI

Die Weiterleitungs-URI, die von der Jamf Connect App bei Okta verwendet wird.

Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige gültige URI festgelegt werden. Der in Okta festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen.

Hinweis: Verwenden Sie ein eigenes URL-Schema, um sicherzustellen, dass die Weiterleitungs-URI nicht mit anderen Adressen in Konflikt steht.

<key>OIDCRedirectURI</key>

<string>jamfconnect://weiterleitungs-URI</string>

Pluggable Authentication Module (PAM)

Schlüssel

Beschreibung

Beispiel

AuthUIOIDCProvider

Gibt den mit dem PAM zu verwendenden Identitätsdienst an.

<key>AuthUIOIDCProvider<key>

<string>identitätsanbieter-einfügen</string>

AuthUIOIDCClientID

Die für die Authentifizierung des Benutzers verwendete Client-ID der App, die bei Ihrem Identitätsdienst registriert wurde.

<key>AuthUIOIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

Die Weiterleitungs-URI, die von der bei Ihrem Identitätsdienst registrierten App verwendet wird.

<key>AuthUIOIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

Gibt an, welcher in Ihrem Identitätsdienst festgelegte Mandant zusammen mit dem PAM verwendet werden soll.

Hinweis: Wenn Sie als Identitätsdienst Okta verwenden, muss dieser Schlüssel angegeben werden.

<key>AuthUIOIDCTenant</key>

<string>dev-123456</string>

AuthUIOIDCClientSecret

Das Client-Geheimnis, das von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird. Dieser Wert ist nur Jamf Connect und Ihrem Identitätsdienst bekannt.

<key>AuthUIOIDCClientSecret</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

Einstellungen für FileVault
Schlagen Sie zur Aktivierung von FileVault auf Computern mithilfe von Jamf Connect im Artikel Verwenden von FileVault mit Jamf Connect in der Informationsdatenbank nach.

Schlüssel

Beschreibung

Beispiel

EnableFDE

Gibt an, ob FileVault von Jamf Connect Login beim ersten Benutzer aktiviert wird, der sich anmeldet.

<key>EnableFDE</key>

<true/>

EnableFDERecoveryKey

Bei der Einstellung „true“ wird der Wiederherstellungsschlüssel von FileVault unter /var/db/NoMADFDE gespeichert, sofern kein anderer Speicherort angegeben wird.

<key>EnableFDERecoveryPath</key>

<true/>

EnableFDERecoveryKeyPath

Legt einen benutzerdefinierten Pfad für den Wiederherstellungsschlüssel fest.

<key>EnableFDERecoveryPath</key>

<string>/usr/local/filevault</string>

Einstellungen für den „EULA“-Mechanismus

Hinweis: Sie müssen den „EULA“-Mechanismus zunächst aktivieren, bevor Sie die zugehörigen Einstellungen konfigurieren können. Informationen zum Hinzufügen des „EULA“-Mechanismus zu Jamf Connect Login finden Sie unter Hinzufügen des „EULA“-Mechanismus.

Schlüssel

Beschreibung

Beispiel

EULAPath

Gibt eine Datei an, in der der Datensatz des Benutzers zur Endbenutzer-Lizenzvereinbarung (EULA) gespeichert wird.

<key>EULAPath</key>

<string>/usr/local/shared/EULA.txt</string>

EULAText

Der für die Endbenutzer-Lizenzvereinbarung verwendete Text.

<key>EULAText</key>

<string>Hier EULA-Text einfügen</string>

EULATitle

Titel des Textes in der Endbenutzer-Lizenzvereinbarung.

<key>EULATitle</key>

<string>Endbenutzer-Lizenzvereinbarung</string>

EULASubTitle

Untertitel für den Text in der Endbenutzer-Lizenzvereinbarung.

<key>EULASubTitle</key

<string>Allgemeine Nutzungsbedingungen</string>


Einstellungen für Nachrichten und Erscheinungsbild

Schlüssel

Beschreibung

Beispiel

BackgroundImage

Pfad zu einer lokal gespeicherten Bilddatei, die als Hintergrund für das Anmeldefenster verwendet wird.

<key>BackgroundImage</key>

<string>/usr/local/shared/background.jpg</string>

LoginLogo

Pfad zu einer lokal gespeicherten Bilddatei, die als Logo bei der Passwortvalidierung oder der Erstellung eines lokalen Passworts verwendet wird.

Hinweis: Es wird ein Bild mit einer Größe von 250 x 250 Pixeln empfohlen.

<key>LoginLogo</key>

<string>/usr/local/shared/logo.png</string>

LoginScreen

Legt fest, ob von Jamf Connect Login anstelle eines Fensters ein Anmeldebildschirm im Stil von macOS angezeigt wird.

 

<key>LoginScreen</key>

<true/>

MessageOTPEntry

Text, der angezeigt wird, wenn ein Benutzer bei der Multi-Faktor-Authentifizierung (MFA) ein Einmalpasswort (OTP) eingeben muss.

<key>MessageOTPEntry</key>

<string>Geben Sie Ihren Verifizierungscode ein.</string>

Einstellungen für die Hilfe

Schlüssel

Beschreibung

Beispiel

AllowNetwork Selection

Wenn dieser Einstellungsschlüssel auf „true“ gesetzt ist, kann der Benutzer die Einstellungen für die Netzwerkverbindung im Anmeldefenster konfigurieren und bestätigen. Auf diese Funktion kann vom Benutzer unten rechts im Anmeldefenster durch Klicken auf Netzwerkverbindung zugegriffen werden.

Hinweis: Um die Sicherheit der Computer zu gewährleisten, kann der Benutzer im Anmeldefenster kein offenes WLAN-Netzwerk auswählen.

<key>AllowNetworkSelection</key>

<true/>

HelpURL

Geben Sie eine URL an, die im Anmeldefenster angezeigt wird und über die der Benutzer zu unterstützenden Ressourcen für die Einarbeitung oder die Registrierung zugreifen kann.

<key>HelpURL</key>

<string>yourcompany.help.com</string>

HelpURLLogo

Fügen Sie ein benutzerdefiniertes Bild hinzu, das als anklickbares Logo angezeigt wird und über das die festgelegte Hilfe-URL aufgerufen wird.

Hinweis: Der Schlüssel HelpURL muss konfiguriert werden.

<key>HelpURLLogo</key>

<string>/usr/local/shared/helplogo.png</string>

LocalHelpFile

Pfad zu einer lokalen Datei, auf die der Benutzer durch Klicken auf die Taste „Help (Hilfe)“ im Fenster von Jamf Connect Login zugreifen kann. Diese Datei wird nur angezeigt, wenn vom Computer keine Verbindung zum Internet hergestellt und die in dem Schlüssel HelpURL aufgeführte URL nicht aufgerufen werden kann.

Hinweis: Es werden unter anderem die Dateitypen PDF und HTML unterstützt.

<key>LocalHelpFile</key>

<string>/usr/local/shared/JamfConnectHelp.pdf</string>

Einstellungen für Skripte

Hinweis: Sie müssen den „RunScript“-Mechanismus zunächst aktivieren, bevor Sie die zugehörigen Skripteinstellungen konfigurieren können. Informationen zum Hinzufügen des „RunScript“-Mechanismus zu Jamf Connect Login finden Sie unter Hinzufügen des „RunScript“-Mechanismus.

Schlüssel

Beschreibung

Beispiel

ScriptArgs

Die Argumente, die mit einem bestimmten Skript verwendet werden sollen, das mithilfe des Mechanismus „RunScript“ ausgeführt wird.

Hinweis: Der Schlüssel ScriptPath muss konfiguriert werden.

<key>ScriptArgs</key>

<array>

<string>-v</string>

<string>-user</string>

</array>

ScriptPath

Gibt den Pfad zu einem Skript oder zu einer anderen ausführbaren Datei an, die mit dem Mechanismus „RunScript“ ausgeführt werden soll. Sie können mit Jamf Connect Login immer nur ein Skript gleichzeitig verwenden.

<key>ScriptPath</key>

<string>/usr/local/bin/login</string>

Weiterführende Informationen

Weiterführende Informationen über Jamf Connect Login finden Sie in den folgenden Abschnitten dieses Leitfadens:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.