Sicherheit

Die Passwort- und Zertifikatverwaltung ist für die ordnungsgemäße Funktionsweise von Jamf Connect unerlässlich. Für Single Sign-On (SSO) bzw. die Anbindung von Jamf Connect an Active Directory kommen standardbasierte Technologien zum Einsatz. Dabei erfolgen Anmeldevorgänge mithilfe von Kerberos, LDAP und sicheren URLSession-Verbindungen mit Ihrem cloudbasierten Identitätsdienst. Von Jamf Connect werden hierfür die in macOS integrierten Versionen dieser Tools verwendet.

Machen Sie sich mit den folgenden Sicherheitsmechanismen in Jamf Connect vertraut, um sich ein umfassendes Verständnis zu diesen Interaktionen anzueignen und die Sicherheit Ihrer Informationen zu gewährleisten.

Passwörter

Wenn sich ein Benutzer bei Jamf Connect anmeldet, wird das Passwort in ein sicheres Textfeld eingegeben und niemals außerhalb des macOS Schlüsselbunds auf einen Datenträger geschrieben.

Bei Verwendung von Kerberos wird das Passwort mit dem API-Aufruf gss_aapl_initial_cred() verarbeitet, durch den der Benutzer authentifiziert wird und ein Ticket Granting Ticket (TGT) abgerufen wird. Auch beim Ändern des Passworts mithilfe des API-Aufrufs gss_aapl_change_password() kommt dieses Verfahren zum Einsatz. Für beide API-Aufrufe wird die von Apple bereitgestellte Kerberos Implementierung „Heimdal“ verwendet.

Hinweis: Alle Kerberos Aktionen werden über APIs von Apple ausgeführt. Das Password wird niemals mit kinit oder einem anderen Tool für die Kerberos Befehlszeile zwischengespeichert.

Bei Verwendung von Okta als cloudbasierter Identitätsdienst wird von Jamf Connect die Okta API für die Authentifizierung verwendet.

Bei Integration in andere Identitätsdienste, z. B. Azure AD, wird von Jamf Connect das OpenID Connect (OIDC) Protokoll für die Kommunikation mit dem Identitätsdienst verwendet.

Hinweis: Alle Netzwerkverbindungen werden über die in macOS integrierte URLSession API zum Laden von URLs hergestellt. Die gesamte Kommunikation wird mittels TLS verschlüsselt, um die sichere Übertragung der Daten zu gewährleisten.

Wenn die Verarbeitung des Passworts durch Jamf Connect abgeschlossen ist, wird der Wert überschrieben und die Zuweisung wird aufgehoben.

Weitere Informationen über OpenID Connect finden Sie in den FAQ auf der OpenID Foundation Website: https://openid.net/connect/faq/

Weitere Informationen zur Okta API für die Authentifizierung finden Sie in der Okta Dokumentation für Entwickler: https://developer.okta.com/docs/reference/api/authn/#application-types

Verwendung des Schlüsselbunds

Sofern konfiguriert, wird das Benutzerpasswort von Jamf Connect mithilfe der API-Aufrufe SecKeychainAddGenericPassword() und SecKeychain im lokalen Schlüsselbund des Benutzers gespeichert. Das Passwort wird im Standard-Schlüsselbund des Benutzers abgelegt.

Wenn das Passwort im Schlüsselbund des Benutzers gespeichert wurde und Kerberos aktiviert ist, wird dieses Passwort von Jamf Connect beim Start verwendet. Wenn der Benutzer mit diesem Passwort nicht authentifiziert werden kann, wird das Passwort von Jamf Connect aus dem Schlüsselbund entfernt, um zu verhindern, dass der Benutzer vom Computer ausgesperrt wird. Anschließend wird der Benutzer aufgefordert, die Eingabe mit einem gültigen Passwort zu wiederholen.

Sicherheit im Zusammenhang mit Active Directory

Für Jamf Connect müssen keine Änderungen an den Sicherheitseinstellungen von Active Directory vorgenommen werden. Die Kommunikation zwischen Jamf Connect und Active Directory erfolgt ausschließlich mittels SASL-Bindungen. Der LDAP-Verkehr mit Active Directory wird standardmäßig unter Verwendung des Kerberos Tickets des Benutzers verschlüsselt. Jamf Connect kann so konfiguriert werden, dass für LDAP-Verbindungen mit Active Directory zusätzlich SSL verwendet wird.

Benutzerbereich

Beachten Sie Folgendes:

  • Jamf Connect wird im Benutzerbereich ohne „root“-Berechtigungen ausgeführt. Deshalb verfügt Jamf Connect ausschließlich über die Berechtigungen, die dem aktuell angemeldeten Benutzer zugewiesen sind.

  • Für macOS Benutzer mit der Rolle „Admin“ und „Standard“ sind in Jamf Connect dieselben Funktionen verfügbar.

Einstellungen

Die Funktionen von Jamf Connect können mithilfe von Einstellungsschlüsseln vollständig konfiguriert werden. Verwaltete Einstellungen können vom Benutzer nicht geändert werden. Sie können Einstellungen anhand mehrerer Methoden festlegen:

  • Erstellung eines neuen Konfigurationsprofil in Ihrer MDM-Lösung

  • Lokale Installation des Konfigurationsprofils

  • Manuelle Konfiguration mithilfe des Befehls defaults

Zertifikate

Von Jamf Connect werden keine Benutzergeheimnisse an andere Dienste übermittelt. Der private Schlüssel, mit dem Ihre Zertifikatsignieranforderung (Certificate Signing Request, CSR) erstellt wird, bleibt immer Schlüsselbund. Der gesamte Vorgang findet innerhalb von Jamf Connect mithilfe der von Apple bereitgestellten API-Aufrufe SecKeychain und SecCertificate statt.

Hinweis: Private Schlüssel sind standardmäßig als nicht exportierbar gekennzeichnet. Diese Einstellung kann jedoch mithilfe eines Einstellungsschlüssels angepasst werden.

Zertifikatsignieranforderungen an eine Windows Zertifizierungsstelle werden nach der Authentifizierung mit Kerberos via SSL gesendet. Der signierte öffentliche Schlüssel wird von Kerberos SSL-verschlüsselt abgerufen. Anschließend wird er mit dem privaten Schlüssel im Schlüsselbund abgeglichen.

Netzwerkverbindungen

Von Jamf Connect wird nicht nach eingehenden Verbindungen gesucht. Die gesamte Kommunikation von Jamf Connect erfolgt über ausgehende Verbindungen, die bestmöglich abgesichert werden.

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.