Konfigurieren von Jamf Connect Login für PingFederate

Sie können Jamf Connect Login konfigurieren, indem Sie Einstellungsschlüssel festlegen.

Mithilfe dieser Einstellungsschlüssel können alle Funktionen von Jamf Connect Login vollständig konfiguriert werden. Sie können Einstellungen anhand mehrerer Methoden festlegen:

  • Erstellen Sie mithilfe von Jamf Connect Configuration ein Konfigurationsprofil.
    Weitere Informationen finden Sie unter Jamf Connect Configuration.

  • Erstellen Sie manuell mithilfe eines Texteditors ein Konfigurationsprofil.

  • Übernehmen Sie die Einstellungen durch Ausführen des Befehls defaults write.

Hinweis: Mit dem Befehl defaults können mit einer MDM-Lösung konfigurierte Einstellungen nicht angezeigt werden.

Einstellungsschlüssel für Jamf Connect Login müssen an folgendem Speicherort hinterlegt werden:

/Library/Preferences/com.jamf.connect.login.plist

Diese PLIST-Datei wird nicht von Jamf Connect Login erstellt. Sie müssen sie manuell erstellen.

Wenn Sie Jamf Pro nutzen, müssen Sie das Konfigurationsprofil signieren, bevor Sie es hochladen. Weitere Informationen finden Sie im Artikel Deploying Custom Configuration Profiles using Jamf Pro (Bereitstellen benutzerdefinierter Konfigurationsprofile mit Jamf Pro) in der Informationsdatenbank.

Nachfolgend finden Sie ein Beispiel für den Inhalt einer PLIST-Datei, die zum Konfigurieren von Jamf Connect Login verwendet werden kann:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>OIDCProvider</key>
<string>PingFederate</string>
<key>OIDCROPGID</key>
<string>9fcc52c7-ee36-4889-8517-c5fed2c78083</string>
<key>OIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>
<key>OIDCClientID</key>
<string>9fcc52c7-ee36-4889-8517-c5fed2c78083</string>
<key>OIDCDiscoveryURL</key>
<string>https://domaene.url.de/.bekannte/openid-konfiguration</string>
</dict>
</plist>

Einstellungsschlüssel

Die folgenden Tabellen enthalten die Schlüssel-Wert-Paare aller Einstellungen, die für Jamf Connect Login festgelegt werden können.

Hinweis: Nicht konfigurierte boolesche Schlüsselwerte haben, sofern nicht anders angegeben, standardmäßig den Wert „false“.

Erforderliche Schlüssel-Wert-Paare

Schlüssel

Beschreibung

Beispiel

OIDCProvider

Legt fest, dass PingFederate als Identitätsdienst für Jamf Connect Login verwendet wird.

<key>OIDCProvider</key>

<string>PingFederate</string>

OIDCRedirectURI

Die Weiterleitungs-URI, die von der Jamf Connect App bei PingFederate verwendet wird.

Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige gültige URI festgelegt werden. Der in PingFederate festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen.

<key>OIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

OIDCClientID

Die für die Authentifizierung des Benutzers bei PingFederate verwendete Client-ID der Jamf Connect App.

<key>OIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCROPGID

Die Client-ID der bei Ihrem Identitätsdienst registrierten App, die für die Authentifizierung des Benutzerpassworts über eine Ressourcenbesitzer-Kennwortgewährung (ROPG) verwendet wird. Dieser Wert sollte üblicherweise mit dem Einstellungsschlüssel „OIDCClientID“ übereinstimmen.

<key>OIDCROPGID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCDiscoveryURL

Das OpenID Metadaten-Dokument, in dem Ihre Konfigurationsdaten für OpenID gespeichert sind. Dieser Wert wird in folgendem Format angegeben: „ https://domaene.url.de/.bekannte/openid-konfiguration

<key>OIDCDiscoveryURL</key>
<string>    
https://domaene.url.de/.bekannte/openid-konfiguration</string>    

Optionale Schlüssel-Wert-Paare

Mit optionalen Schlüssel-Wert-Paaren kann das Benutzererlebnis von Jamf Connect Login und der Prozess für die Accounterstellung angepasst werden.

Einstellungen für die Accounterstellung

Schlüssel

Beschreibung

Beispiel

CreateAdminUser

Mit der Einstellung „true“ erhalten neue Benutzer, die auf dem Computer lokal erstellt werden, automatisch Administratorberechtigungen.

<key>CreateAdminUser</key>

<false/>

CreateVerifyPasswords

Legt fest, ob für Jamf Connect Verify ein Eintrag im Schlüsselbund erstellt wird.

<key>CreateVerifyPasswords</key>

<true/>

DemobilizeUsers

Legt fest, ob auf vorhandene Active Directory Mobilgeräteaccounts der Mechanismus „DeMobilize“ angewendet wird, wodurch ein Mobilgeräteaccount in einen lokalen Account umgewandelt wird.

<key>DemobilizeUsers</key>

<false/>

DenyLocal

Gibt an, ob Benutzer die Netzwerkauthentifizierung umgehen und in loginwindow die Taste Local Auth (Lokale Authentifizierung) verwenden können.

Mit der Einstellung „true“ ist die Taste Local Auth (Lokale Authentifizierung) nicht verfügbar und der Benutzer muss sich beim Netzwerk authentifizieren.

Mit der Einstellung „false“ ist die Taste Local Auth (Lokale Authentifizierung) verfügbar und der Benutzer kann sich wahlweise lokal authentifizieren.

<key>DenyLocal</key>

<false/>

DenyLocalExcluded

Legt fest, welche Benutzer sich auch dann lokal authentifizieren können, wenn der Schlüssel DenyLocal auf „true“ gesetzt ist.

<key>DenyLocalExcluded</key>

<array>

<string>Benutzer-1</string>

<string>Benutzer-2</string>

<string>Benutzer-3</string>

<string>Benutzer-4</string>

</array>

LicenseFile

Der Inhalt einer im Base64-Datenformat kodierten „.jamfconnectlicense“-Datei.

Hinweis: Es wird empfohlen, Ihren Lizenzschlüssel in einem separaten Konfigurationsprofil zu speichern, das von Ihrem Account Manager bereitgestellt wird.

<key>LicenseFile</key>

<data>encoded-license-content</data>

LocalFallback

Kann zusammen mit dem Schlüssel DenyLocal verwendet werden, um zunächst die Authentifizierung beim Identitätsdienst zu erzwingen, jedoch im Fehlerfall, wenn der Identitätsdienst nicht verfügbar ist, auf eine lokale Authentifizierung auszuweichen.

<key>LocalFallback</key>

<true/>

Migrate

Ermöglicht die Migration lokaler Accounts zu Netzwerkaccounts.

Dieser Schlüssel wird normalerweise verwendet, wenn der Benutzeraccount bereits auf dem System existiert, Sie aber denselben Benutzernamen und dasselbe Passwort für die Cloud-Identität des Benutzers verwenden wollen.

Dies wird von Jamf Connect Login durch Erzwingen der Anmeldung beim Identitätsdienst und anschließendes Abgleichen des Benutzers mit einem bestehenden lokalen Account erreicht. Folgende Migrationsszenarien sind denkbar:

  • Wenn der Netzwerkbenutzername und das zugehörige Passwort mit einem lokalen Benutzernamen und zugehörigen Passwort übereinstimmen, gilt der Account als migriert. Es sind keine zusätzlichen Schritte erforderlich.

  • Wenn der Netzwerkbenutzername eines Benutzers mit einem lokalen Benutzernamen übereinstimmt, die Passwörter sich jedoch unterscheiden, wird der Benutzer zur Eingabe seines aktuellen lokalen Passwort aufgefordert. Nach der erfolgreichen Eingabe des Passworts werden von Jamf Connect Login das aktuelle lokale Passwort und das aktuelle Netzwerkpasswort verwendet, um den Account mit dem aktuellen Netzwerkpasswort zu synchronisieren.

  • Wenn der Netzwerkbenutzername eines Benutzers mit keinem der lokalen Accounts übereinstimmt, erhält der Benutzer die Option, einen lokalen Account zu erstellen oder zu migrieren. Um einen Account zu migrieren, muss der Benutzer das bestehende lokale Passwort eingeben. Dann wird das Passwort von Jamf Connect Login mit dem Netzwerkpasswort synchronisiert. Anschließend wird der Netzwerkbenutzername dem lokalen Account als Alias hinzugefügt. Somit kann sich der Benutzer mit seinem Netzwerkbenutzernamen beim System anmelden.

Zusätzlich können Benutzer mit Identitätsdiensten von lokalen Accounts auf Accounts migriert werden, die einer Netzwerkidentität zugeordnet sind. Mit den Einstellungsschlüsseln Migrate und DenyLocal erfolgt die Authentifizierung bei allen nachfolgenden Anmeldungen beim Identitätsdienst. Anschließend wird vom System geprüft, ob der Benutzerdatensatz ein „IdPUser“-Attribut aufweist. Wenn dieses Attribut nicht verifiziert werden kann, wird der Benutzer aufgefordert, einen lokalen Account auszuwählen, der mit dem Netzwerkaccount verknüpft werden soll. Wenn der Kurzname des lokalen Accounts nicht mit dem Netzwerkkurznamen übereinstimmt, wird der Netzwerkname dem Account als Alias hinzugefügt, sodass der Benutzer beide verwenden kann. Somit müssen keine Änderungen am Benutzerordner und anderen Elementen des Benutzerdatensatzes vorgenommen werden.

Hinweis: Bei jeder erfolgreichen Netzwerkauthentifizierung eines Benutzers wird der Benutzerdatensatz mit dem Attribut „NetworkSignIn“ aktualisiert. Wenn der Benutzer sich nur lokal authentifiziert hat, wird das Attribut nicht aktualisiert.

<key>Migrate</key>

<false/>

MigrateUsersHide

Legt fest, welche lokalen Accounts nicht im Pulldown-Menü für die Migration angezeigt werden.

<key>MigrateUsersHide</key>

<array>

<string>admin</string>

<string>ladmin</string>

</array>

RightsTmpCache

Gibt bei Verwendung der Regel „AuthUI“ an, ob als Cache-Speicher für Tokens /tmp/cachedata verwendet wird.

<key>RightsTmpCache</key>

<false/>

UIDTool

Gibt den Pfad zu einem UID-Tool an, mit dem Sie bei der Kontoerstellung als UID eines lokalen Benutzerkontos einen benutzerdefinierten Wert festlegen können. Dieser kann dazu verwendet werden, die UID des lokalen Benutzers mit dem zugehörigen LDAP-UID-Attribut zu verknüpfen. Bei Ihrem UID-Tool muss es sich um ein ausführbares Skript handeln.

<key>UIDTool</key>

<string>/Users/Shared/UIDTool</string>

Einstellungen für OpenID Connect

Schlüssel

Beschreibung

Beispiel

OIDCNewPassword

 

Wenn dieser Schlüssel auf „true“ festgelegt ist, wird der Benutzer aufgefordert, für seinen neuen lokalen Account ein neues Passwort zu erstellen.

Ist der Schlüssel auf „false“ festgelegt, wird der Benutzer aufgefordert, sein Netzwerkpasswort erneut einzugeben. Dieses wird dann als Passwort für den lokalen Account übernommen. So ist sichergestellt, dass das Netzwerkpasswort und das lokale Passwort des Benutzers beim Erstellen des Benutzers synchronisiert werden.

Hinweis: Dieser Schlüssel ist standardmäßig auf „true“ festgelegt.

<key>OIDCNewPassword</key>

<true/>

OIDCAdmin

Gibt an, welche Benutzergruppen bei der Accounterstellung lokal mit der Rolle „Admin“ angelegt werden. Sie können eine Benutzergruppe als Zeichenfolge oder mehrere Benutzergruppen als Array von Zeichenfolgen eingeben.

Hinweis: Standardmäßig wird von Jamf Connect Login das Attribut „groups“ im ID-Token des Benutzers ausgewertet, um festzulegen, ob der Benutzer lokal mit der Rolle „Admin“ angelegt wird. Verwenden Sie für ein anderes bei der Benutzererstellung zu verwendendes Attribut den Einstellungsschlüssel „OIDCAdminAttribute“.

<key>OIDCAdmin</key>

<string>Rolle</string>

 

oder

 

<key>OIDCAdmin</key>

<array>

<string>Rolle-1</string>

<string>Rolle-2</string>

<string>Rolle-3</string>

<string>Rolle-4</string>

</array>

OIDCAdminAttribute

Gibt an, mit welchem in einem ID-Token gespeicherten Attribut bestimmt wird, ob ein Benutzer lokal mit der Rolle „Standard“ oder „Admin“ angelegt wird. Standardmäßig wird von Jamf Connect Login für alle mit dem Einstellungsschlüssel „OIDCAdmin“ festgelegten Werte das Attribut „groups“ ausgewertet.

<key>OIDCAdminAttribute</key>

<string>attribut-einfügen</string>

OIDCClientSecret

Das von Jamf Connect Login und Ihrem Identitätsdienst verwendete Client-Geheimnis.

<key>OIDCClientSecret</key>

<string>hier-client-geheimnis-einfügen</string>

OIDCIgnoreAdmin

Mit der Einstellung „true“ werden von Jamf Connect Login alle Rollen ignoriert, die im Identitätsdienst möglicherweise festgelegt sind. Durch die Verwendung dieses Schlüssels wird sichergestellt, dass der einem lokalen Benutzeraccount aktuell zugewiesene Status („Admin“ oder „Standard“) nicht geändert wird.

Mit der Einstellung „false“ oder „unspecified“ wird von Jamf Connect Login zum Konfigurieren von Rollen der Schlüssel „OIDCAdmin“ verwendet und der Status des lokalen Benutzeraccounts wird ausgehend von eventuell im Identitätsdienst festgelegten Rollen geändert.

<key>OIDCIgnoreAdmin</key>

<true/>

OIDCTenant

Gibt die Mandanten-ID Ihrer Organisation an, die für die Authentifizierung verwendet wird.

<key>OIDCTenant</key>

<string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>

OIDCDiscoveryURL

Das OpenID Metadaten-Dokument des Identitätsdienstes, in dem Ihre Konfigurationsdaten für OpenID gespeichert sind. Dieser Wert wird in folgendem Format angegeben: „https://domaene.url.de/.bekannte/openid-konfiguration“

Hinweis: Dieser Schlüssel ist erforderlich, wenn der Schlüssel OIDCProvider auf Custom eingestellt ist.

<key>OIDCDiscoveryURL</key>

<string>https://identitätsanbieter-beispieladresse.de/.pfad-zur/openid-konfiguration</string>

OIDCIgnoreCookies

Sorgt dafür, dass von loginwindow gespeicherte Cookies ignoriert werden.

<key>OIDCIgnoreCookies</key>

<true/>

Pluggable Authentication Module (PAM)

Schlüssel

Beschreibung

Beispiel

AuthUIOIDCProvider

Gibt den mit dem PAM zu verwendenden Identitätsdienst an.

<key>AuthUIOIDCProvider<key>

<string>identitätsanbieter-einfügen</string>

AuthUIOIDCClientID

Die für die Authentifizierung des Benutzers verwendete Client-ID der App, die bei Ihrem Identitätsdienst registriert wurde.

<key>AuthUIOIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

Die Weiterleitungs-URI, die von der bei Ihrem Identitätsdienst registrierten App verwendet wird.

<key>AuthUIOIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

Gibt an, welcher in Ihrem Identitätsdienst festgelegte Mandant zusammen mit dem PAM verwendet werden soll.

Hinweis: Wenn Sie als Identitätsdienst Okta verwenden, muss dieser Schlüssel angegeben werden.

<key>AuthUIOIDCTenant</key>

<string>dev-123456</string>

AuthUIOIDCClientSecret

Das Client-Geheimnis, das von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird. Dieser Wert ist nur Jamf Connect und Ihrem Identitätsdienst bekannt.

<key>AuthUIOIDCClientSecret</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

Einstellungen für Nachrichten und Erscheinungsbild

Schlüssel

Beschreibung

Beispiel

BackgroundImage

Pfad zu einer lokal gespeicherten Bilddatei, die als Hintergrund für das Anmeldefenster verwendet wird.

<key>BackgroundImage</key>

<string>/usr/local/shared/background.jpg</string>

LoginLogo

Pfad zu einer lokal gespeicherten Bilddatei, die als Logo bei der Passwortvalidierung oder der Erstellung eines lokalen Passworts verwendet wird.

Hinweis: Es wird ein Bild mit einer Größe von 250 x 250 Pixeln empfohlen.

<key>LoginLogo</key>

<string>/usr/local/images/logo.png</string>

Einstellungen für die Hilfe

Schlüssel

Beschreibung

Beispiel

AllowNetwork Selection

Wenn dieser Einstellungsschlüssel auf „true“ gesetzt ist, kann der Benutzer die Einstellungen für die Netzwerkverbindung im Anmeldefenster konfigurieren und bestätigen. Auf diese Funktion kann vom Benutzer unten rechts im Anmeldefenster durch Klicken auf Netzwerkverbindung zugegriffen werden.

Hinweis: Um die Sicherheit der Computer zu gewährleisten, kann der Benutzer im Anmeldefenster kein offenes WLAN-Netzwerk auswählen.

<key>AllowNetworkSelection</key>

<true/>

HelpURL

Geben Sie eine URL an, die im Anmeldefenster angezeigt wird und über die der Benutzer zu unterstützenden Ressourcen für die Einarbeitung oder die Registrierung zugreifen kann.

<key>HelpURL</key>

<string>yourcompany.help.com</string>

HelpURLLogo

Fügen Sie ein benutzerdefiniertes Bild hinzu, das als anklickbares Logo angezeigt wird und über das die festgelegte Hilfe-URL aufgerufen wird.

Hinweis: Der Schlüssel HelpURL muss konfiguriert werden.

<key>HelpURLLogo</key>

<string>/usr/local/shared/helplogo.png</string>

LocalHelpFile

Pfad zu einer lokalen Datei, auf die der Benutzer durch Klicken auf die Taste „Help (Hilfe)“ im Fenster von Jamf Connect Login zugreifen kann. Diese Datei wird nur angezeigt, wenn vom Computer keine Verbindung zum Internet hergestellt und die in dem Schlüssel HelpURL aufgeführte URL nicht aufgerufen werden kann.

Hinweis: Es werden unter anderem die Dateitypen PDF und HTML unterstützt.

<key>LocalHelpFile</key>

<string>/usr/local/shared/JamfConnectHelp.pdf</string>

Einstellungen für FileVault
Schlagen Sie zur Aktivierung von FileVault auf Computern mithilfe von Jamf Connect im Artikel Verwenden von FileVault mit Jamf Connect in der Informationsdatenbank nach.

Schlüssel

Beschreibung

Beispiel

EnableFDE

Gibt an, ob FileVault von Jamf Connect Login beim ersten Benutzer aktiviert wird, der sich anmeldet.

<key>EnableFDE</key>

<true/>

EnableFDERecoveryKey

Bei der Einstellung „true“ wird der Wiederherstellungsschlüssel von FileVault unter /var/db/NoMADFDE gespeichert, sofern kein anderer Speicherort angegeben wird.

<key>EnableFDERecoveryPath</key>

<true/>

EnableFDERecoveryKeyPath

Legt einen benutzerdefinierten Pfad für den Wiederherstellungsschlüssel fest.

<key>EnableFDERecoveryPath</key>

<string>/usr/local/filevault</string>

Einstellungen für den „EULA“-Mechanismus

Hinweis: Sie müssen den „EULA“-Mechanismus zunächst aktivieren, bevor Sie die zugehörigen Einstellungen konfigurieren können. Informationen zum Hinzufügen des „EULA“-Mechanismus zu Jamf Connect Login finden Sie unter Hinzufügen des „EULA“-Mechanismus.

Schlüssel

Beschreibung

Beispiel

EULAPath

Gibt eine Datei an, in der der Datensatz des Benutzers zur Endbenutzer-Lizenzvereinbarung (EULA) gespeichert wird.

<key>EULAPath</key>

<string>/usr/local/shared/EULA.txt</string>

EULAText

Der für die Endbenutzer-Lizenzvereinbarung verwendete Text.

<key>EULAText</key>

<string>Hier EULA-Text einfügen</string>

EULATitle

Titel des Textes in der Endbenutzer-Lizenzvereinbarung.

<key>EULATitle</key>

<string>Endbenutzer-Lizenzvereinbarung</string>

EULASubTitle

Untertitel für den Text in der Endbenutzer-Lizenzvereinbarung.

<key>EULASubTitle</key

<string>Allgemeine Nutzungsbedingungen</string>

Einstellungen für Skripte

Hinweis: Sie müssen den „RunScript“-Mechanismus zunächst aktivieren, bevor Sie die zugehörigen Skripteinstellungen konfigurieren können. Informationen zum Hinzufügen des „RunScript“-Mechanismus zu Jamf Connect Login finden Sie unter Hinzufügen des „RunScript“-Mechanismus.

Schlüssel

Beschreibung

Beispiel

ScriptArgs

Die Argumente, die mit einem bestimmten Skript verwendet werden sollen, das mithilfe des Mechanismus „RunScript“ ausgeführt wird.

Hinweis: Der Schlüssel ScriptPath muss konfiguriert werden.

<key>ScriptArgs</key>

<array>

<string>-v</string>

<string>-user</string>

</array>

ScriptPath

Gibt den Pfad zu einem Skript oder zu einer anderen ausführbaren Datei an, die mit dem Mechanismus „RunScript“ ausgeführt werden soll. Sie können mit Jamf Connect Login immer nur ein Skript gleichzeitig verwenden.

<key>ScriptPath</key>

<string>/usr/local/bin/login</string>

Weiterführende Informationen

Weiterführende Informationen über Jamf Connect Login finden Sie in den folgenden Abschnitten dieses Leitfadens:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.