Anmeldefenster-Einstellungen

Anmeldefenster-Authentifizierungseinstellungen

Domäne: com.jamf.connect.login

Beschreibung: Mit diesen Schlüsseln wird Jamf Connect das Durchführen der Authentifizierung zwischen Ihrem Identitätsdienst und lokalen Accounts bei Anmeldung am Anmeldefenster erlaubt. Die erforderlichen Einstellungen unterscheiden sich je nach Identitätsdienst.

Schlüssel

Beschreibung

Beispiel

OIDCProvider

 

Identitätsdienst

Legt den von Ihnen verwendeten cloudbasierten Identitätsdienst fest. Die folgenden Werte werden unterstützt:

  • Azure

  • IBMCI

  • GoogleID

  • OneLogin

  • Okta

  • PingFederate

  • Custom

<key>OIDCProvider</key>

<string>Azure</string>

AuthServer

 

 

Authentifizierungsserver

(Nur Okta) URL der Okta Domäne Ihrer Organisation.

<key>AuthServer</key>

<string>ihrunternehmen.okta.com</string>

OIDCClientID

Client-ID

Die für die Authentifizierung des Benutzers bei Ihrem Identitätsdienst verwendete Client-ID der Jamf Connect App.

<key>OIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCRedirectURI

Weiterleitungs-URI

Die Weiterleitungs-URI, die von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird.

Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige URI festgelegt werden. Der in Ihrem Identitätsdienst festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen.

<key>OIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

OIDCClientSecret

Client-Geheimnis

Das von Jamf Connect Login und Ihrem Identitätsdienst verwendete Client-Geheimnis.

<key>OIDCClientSecret</key>

<string>hier-client-geheimnis-einfügen</string>

OIDCTenant

Mandanten-ID

Gibt die Mandanten-ID Ihrer Organisation an, die für die Authentifizierung verwendet wird.

<key>OIDCTenant</key>

<string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>

OIDCDiscoveryURL

Ermittlungs-URL

Das OpenID Metadaten-Dokument des Identitätsdienstes, in dem Ihre Konfigurationsdaten für OpenID gespeichert sind. Dieser Wert wird in folgendem Format angegeben: „https://domaene.url.de/.bekannte/openid-konfiguration“

Hinweis: Dieser Schlüssel wird benötigt, wenn Ihr Identitätsdienst (OIDCProvider) eingestellt ist auf „Custom“ oder „PingFederate“.

<key>OIDCDiscoveryURL</key>

<string>https://identitätsanbieter-beispieladresse.de/.pfad-zur/openid-konfiguration</string>

LicenseFile

Lizenzdatei

Der Inhalt einer im Base64-Datenformat codierten Jamf Connect Lizenzdatei.

<key>LicenseFile</key>

<string>inhalt-der-kodierten-lizenz</string>

Einstellungen für das anfängliche Passwort

Domäne: com.jamf.connect.login

Beschreibung: Diese Einstellungen werden benutzt, um zu bestimmen, wie Jamf Connect während der Accounterstellung ein lokales Passwort erstellt, und ob bei jedem Anmelden das lokale Passwort und das Netzwerkpasswort eines Benutzers geprüft und synchron gehalten werden sollen.

Schlüssel

Beschreibung

Beispiel

OIDCNewPassword

 

Separates lokales Passwort erstellen

Wenn dieser Schlüssel auf „true“ festgelegt ist, wird der Benutzer aufgefordert, für seinen neuen lokalen Account ein neues Passwort zu erstellen.

Ist der Schlüssel auf „false“ festgelegt, wird der Benutzer aufgefordert, sein Netzwerkpasswort erneut einzugeben. Dieses wird dann als Passwort für den lokalen Account übernommen. So ist sichergestellt, dass das Netzwerkpasswort und das lokale Passwort des Benutzers beim Erstellen des Benutzers synchronisiert werden.

Hinweis: Diese Einstellung ist standardmäßig aktiviert.

<key>OIDCNewPassword</key>

<true/>

OIDCROPGID

Client-ID (Passwortverifizierung)

Die Client-ID der bei Ihrem Identitätsdienst registrierten App, die für die Authentifizierung des Benutzerpassworts über einen Authentifizierungsfluss zur Gewährung des Ressourcenbesitzer-Passworts (ROPG) verwendet wird. Dieser Wert stimmt üblicherweise mit dem Einstellungsschlüssel OIDCClientID überein.

<key>OIDCROPGID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

CreateJamfConnectPassword

Jamf Connect Schlüsselbundobjekt erstellen

Erstellt bei der Accounterstellung automatisch ein Schlüsselbundobjekt für Jamf Connect. Dies ermöglicht es der Jamf Connect Menüleisten-App, beim ersten Öffnen der App das Anmeldefenster mit Benutzeranmeldedaten auszufüllen.

Hinweis: Um diese Einstellung nutzen zu können, muss die Einstellung Separates lokales Passwort erstellen (OIDCNewPassword) auf „false“ eingestellt sein.

<key>CreateJamfConnectPassword</key>

<true/>

ROPGSuccessCodes

Erfolgscodes für Passwortverifizierung

Ein Array von Zeichenfolgen mit Fehlercodes aus Ihrem Identitätsdienst, die von Jamf Connect während der Verifizierung eines Passworts mittels Ressourcenbesitzer-Passwortgewährung (ROPG) als „erfolgreich“ interpretiert werden müssen.

Sonstige Fehlercodes, die Sie möglicherweise in Ihrer Umgebung konfigurieren müssen, finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/azure/active-directory/develop/reference-aadsts-error-codes

Wenn Sie in Ihrer Umgebung OneLogin zusammen mit der Multi-Faktor-Authentifizierung verwenden, muss für diesen Schlüssel „MFA“ angegeben werden.

<key>ROPGSuccessCodes</key>

<array>

<string>AADSTS50012</string>

<string>AADSTS50131</string>

</array>

Einstellungen zur Verwaltung der lokalen Authentifizierung und der Netzwerkauthentifizierung

Domäne: com.jamf.connect.login

Beschreibung: Zum Festlegungen von Einschränkungen in Bezug auf die lokale Authentifizierung und die Netzwerkauthentifizierung

Schlüssel

Beschreibung

Beispiel

DenyLocal

Netzwerkauthentifizierung erforderlich

Legt fest, ob ein Benutzer die Netzwerkauthentifizierung auslassen und lokale Accountdaten verwenden kann.

Mit der Einstellung „true“ ist die Taste Local Login (Lokale Anmeldung) nicht verfügbar und der Benutzer muss sich beim Netzwerk authentifizieren.

Mit der Einstellung „false“ ist die Taste Local Login (Lokale Anmeldung) verfügbar und der Benutzer kann sich wahlweise lokal authentifizieren.

<key>DenyLocal</key>

<false/>

DenyLocalExcluded

Benutzer mit Berechtigung zur lokalen Authentifizierung

Legt fest, welche Benutzer sich auch dann lokal authentifizieren können, wenn der Schlüssel DenyLocal auf „true“ gesetzt ist.

<key>DenyLocalExcluded</key>

<array>

<string>Benutzer-1</string>

<string>Benutzer-2</string>

<string>Benutzer-3</string>

<string>Benutzer-4</string>

</array>

LocalFallback

Ausweichen auf lokale Authentifizierung möglich

Dieser Schlüssel wird zusammen mit dem Schlüssel DenyLocal verwendet, um zunächst die Authentifizierung beim Identitätsdienst zu erzwingen, jedoch im Fehlerfall, wenn keine Netzwerkverbindung verfügbar ist, auf eine lokale Authentifizierung auszuweichen.

<key>LocalFallback</key>

<false/>

OIDCDefaultLocal

Benutzer standardmäßig lokal authentifizieren

Bei der Einstellung „true“ wird von Jamf Connect standardmäßig eine lokale Authentifizierung statt einer Netzwerkauthentifizierung durchgeführt. So ist sichergestellt, dass Benutzer sich auch ohne Netzwerkverbindung immer anmelden können.

<key>OIDCDefaultLocal</key>

<false/>

Einstellungen für die Accountmigration

Domäne: com.jamf.connect.login

Beschreibung: Zum Konfigurieren von Account-Verknüpfungen zwischen bestehenden lokalen Accounts und Netzwerkaccounts.

Schlüssel

Beschreibung

Beispiel

Migrate

Vorhandene lokale Accounts mit Netzwerkaccount verknüpfen

Erlaubt das Verknüpfen lokaler Accounts mit einem Netzwerkaccount.

Diese Einstellung wird normalerweise dann verwendet, wenn der bestehende lokale Account eines Benutzers denselben Benutzernamen und dasselbe Passwort erhalten soll wie der Netzwerkaccount des Benutzers.

Wenn diese Option aktiviert ist, muss der Benutzer sich bei seinem Identitätsdienst anmelden. Anschließend wird von Jamf Connect nach einem zugehörigen lokalen Account gesucht.

Hinweis:

  • Um diese Einstellung verwenden zu können, muss die Option Require Network Authentication (Netzwerkauthentifizierung erforderlich (DenyLocal) aktiviert sein. Weitere Informationen finden Sie unter Einschränkungen für Netzwerkauthentifizierung und lokale Authentifizierung.

  • Bei jeder erfolgreichen Netzwerkauthentifizierung wird der Benutzerdatensatz mit dem Attribut „NetworkSignIn“ aktualisiert. Wenn der Benutzer nur die lokale Authentifizierung nutzt, wird dieses Attribut nicht aktualisiert.

<key>Migrate</key>

<false/>

MigrateUsersHide

Von Verknüpfung mit Netzwerkaccount ausgeschlossene lokale Accounts

Eine Liste der Benutzernamen von lokalen Accounts, die vom Migrationsvorgang ausgeschlossen werden. Diese Accounts stehen dem Benutzer beim Anmeldevorgang nicht zum Verknüpfen zur Verfügung.

<key>MigrateUsersHide</key>

<array>

<string>admin</string>

<string>ladmin</string>

</array>

DemobilizeUsers

Accounts demobilisieren

Legt fest, ob auf vorhandene Active Directory Mobilgeräteaccounts der „DeMobilize“-Mechanismus angewendet wird, wodurch ein Mobilgeräteaccount in einen lokalen Account umgewandelt wird. Mit dem „DeMobilize“-Mechanismus wird auch die Netzwerkauthentifizierungsstelle aus dem Account entfernt.

Nach einem solchen Demobilisierung können Sie die Bindung der Computer an Active Directory aufheben.

Wichtig: Wenn Sie die Anbindung an Active Directory vor der Ausführung des „DeMobilize“-Mechanismus aufheben, kann diese fehlschlagen, wenn das Aktive Directory Passwort eines Benutzers nicht mit dem für den Identitätsdienst übereinstimmt und Jamf Connect so konfiguriert ist, dass die Passwörter bei der Accounterstellung synchronisiert werden. Stellen Sie sicher, dass Sie den „DeMobilize“-Mechanismus ausführen, bevor Sie die Anbindung eines Accounts an Active Directory aufheben, und dass die Active Directory Domäne während der Accounterstellung mit Jamf Connect erreichbar ist. Eine entsprechende Anleitung finden Sie im Artikel Demobilizing and Unbinding Mobile Accounts with Jamf Connect and Jamf Pro (Anwenden des „DeMobilize“-Mechanismus und Aufheben der Anbindung von Mobilgeräteaccounts an Jamf Connect und Jamf Pro) in der Informationsdatenbank.

<key>DemobilizeUsers</key>

<false/>

Einstellungen für angepasstes Branding im Anmeldefenster

Domäne: com.jamf.connect.login

Beschreibung: Zum Anpassen des Jamf Connect Anmeldefensters für Ihre Organisation

Schlüssel

Beschreibung

Beispiel

BackgroundImage

Hintergrundbild

Pfad zu einer lokal gespeicherten Bilddatei, die als Hintergrund für das Anmeldefenster verwendet wird. Diese Bilddatei muss an einem Ort gespeichert werden, der im Anmeldefenster gelesen werden kann.

<key>BackgroundImage</key>

<string>/usr/local/shared/background.jpg</string>

LoginLogo

Anmelde-Logo

Pfad zu einer lokal gespeicherten Bilddatei, die als Logo bei der Passwortvalidierung oder der Erstellung eines lokalen Passworts verwendet wird.

Hinweis:

  • Es wird ein Bild mit einer Größe von 250 x 250 Pixeln empfohlen.

  • Der Dateipfad darf keine umgekehrten Schrägstriche („\“) enthalten.

  • Die Bilddatei und ihr Dateipfad müssen ein Set an Berechtigungen erhalten, das vom Anmeldefenster aus gelesen werden kann, beispielsweise 444.

<key>LoginLogo</key>

<string>/usr/local/images/logo.png</string>

LoginWindowMessage

Nachricht im Anmeldefenster

Eine benutzerdefinierte Nachricht, die unten mittig im Anmeldefenster angezeigt wird.

<key>LoginWindowMessage</key>

<string>Melden Sie sich mit dem Benutzernamen und dem Passwort Ihrer Firma an.</string>

Einstellungen für Benutzerhilfe im Anmeldefenster

Domäne: com.jamf.connect.login

Beschreibung: Hiermit kann Benutzern die Möglichkeit gegeben werden, Zugriff auf Hilferessourcen zu erhalten, sich im Anmeldefenster mit einem WLAN zu verbinden und die Ein/Aus-Steuertasten zu verwenden.

Schlüssel

Beschreibung

Beispiel

AllowNetworkSelection

Netzwerkauswahl erlauben

Wenn dieser Einstellungsschlüssel auf „true“ gesetzt ist, kann der Benutzer die Einstellungen für die Netzwerkverbindung im Anmeldefenster konfigurieren und bestätigen. Auf diese Funktion können Benutzer zugreifen, indem sie oben rechts im Anmeldefenster auf das WLAN-Symbol klicken.

Hinweis: Um die Sicherheit der Computer zu gewährleisten, kann der Benutzer im Anmeldefenster kein offenes WLAN-Netzwerk auswählen.

<key>AllowNetworkSelection</key>

<false/>

HelpURL

Hilfe-URL

Geben Sie eine URL an, die im Anmeldefenster angezeigt wird und über die der Benutzer zu unterstützenden Ressourcen für die Einarbeitung oder die Registrierung zugreifen kann.

<key>HelpURL</key>

<string>yourcompany.help.com</string>

HelpURLLogo

Hilfe-Symbol

Benutzerdefiniertes Bild, das als Hilfesymbol benutzt werden soll.

Hinweis: Um diese Funktion zu aktivieren, muss der Schlüssel HelpURL benutzt werden.

<key>HelpURLLogo</key>

<string>/usr/local/shared/helplogo.png</string>

LocalHelpFile

Ausweich-Hilfe-Datei

Pfad zu einer lokalen Datei, wie etwa einer Hilfedatei zum Beheben von Netzwerkproblemen oder einer Anleitung zum Onboarding, auf die der Benutzer durch Klicken auf das Hilfesymbol im Jamf Connect Anmeldefenster zugreifen kann.

Diese Datei wird nur angezeigt, wenn vom Computer keine Verbindung zum Internet hergestellt oder die in dem Schlüssel HelpURL aufgeführte URL nicht aufgerufen werden kann.

Hinweis: Es werden unter anderem die Dateitypen PDF und HTML unterstützt.

<key>LocalHelpFile</key>

<string>/usr/local/shared/JamfConnectHelp.pdf</string>

OIDCLocalAuthButton

Taste „Lokale Anmeldung“

(nur OpenID Connect) Benutzerdefinierter Text für die Taste „Lokale Anmeldung“

<key>OIDCLocalAuthButton</key>

<string>Lokale Anmeldung</string>

OIDCHideShutdown

Taste „Ausschalten“ ausblenden

Die Taste „Ausschalten“ im Benutzeranmeldefenster ausblenden

<key>OIDCHideShutdown</key>

<false/>

OIDCHideRestart

Taste „Neu starten“ ausblenden

Die Taste „Neu starten“ im Benutzeranmeldefenster ausblenden

<key>OIDCHideRestart</key>

<false/>

Einstellungen für Azure AD mit Hybrididentität

Domäne: com.jamf.connect.login

Beschreibung: Zur Konfiguration von Authentifizierung und Passwortsynchronisation für Umgebungen mit Azure AD Hybrididentität.

Schlüssel

Beschreibung

Beispiel

ROPGProvider

Identitätsdienst (Hybrididentitäts-ID)

Gibt an, wohin Jamf Connect versuchen soll, Passwörter zu synchronisieren. Die folgenden Werte werden unterstützt:

  • Benutzerdefiniert

  • Azure_v2

 

<key>ROPGProvider</key>
<string>Azure_v2</string>

ROPGTenant

Mandanten-ID (Hybrididentitäts-ID)

Die Mandanten-ID, die in Ihrer Organisation für die Passwortverifizierung benutzt wird.

<key>ROPGTenant</key>
<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>

ROPGDiscoveryURL

Ermittlungs-URL (Hybrididentitäts-ID)

Gibt den Endpunkt für die Ermittlung per OpenID Connect an. Wenn Sie ADFS verwenden, müssen Sie als Wert Ihre ADFS Domäne sowie Folgendes angeben: „/adfs/.bekannte/openid-konfiguration“

 

Hinweis: Dieser Schlüssel muss konfiguriert werden, wenn für den Schlüssel ROPGProvider der Wert „Custom“ festgelegt wird.

<key>ROPGDiscoveryURL</key>

<string>https://adfs.jamfconnect.com/adfs/.bekannte/openid-konfiguration</string>

ROPGRedirectURI

Weiterleitungs-URI (Hybrididentitäts-ID)

Die Weiterleitungs-URI, die von der erstellten Anwendung für ADFS oder Azure AD verwendet wird.

Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige gültige URI festgelegt werden. Der in Azure AD oder ADFS festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen.

<key>ROPGRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

ROPGClientSecret

Client-Geheimnis (Hybrididentitäts-ID)

Das Client-Geheimnis Ihrer Jamf Connect Anwendung. Beachten Sie beim Konfigurieren eines Client-Geheimnisses Folgendes:

  • Wenn Sie für die ROPG-Authentifizierung und die Autorisierungsgewährung bei Azure AD dasselbe Client-Geheimnis verwenden, konfigurieren Sie diesen Schlüssel nicht. Das mit dem Schlüssel OIDCClientSecret festgelegte Geheimnis wird von Jamf Connect Login sowohl für die Authentifizierung als auch die Passwortverifizierung verwendet.

  • Wenn Sie für eine ROPG-Authentifizierung kein Client-Geheimnis verwenden, legen Sie als Wert „NONE“ fest.

  • Wenn Sie für beide Authentifizierungsvorgänge jeweils ein anderes Client-Geheimnis verwenden, müssen Sie sowohl den Schlüssel OIDCClientSecret als auch den Schlüssel ROPGClientSecret mit entsprechenden Werten konfigurieren.

<key>ROPGClientSecret</key>
<string>ihr-client-geheimnis</string>

Allgemeine Einstellungen für die Benutzerrolle

Domäne: com.jamf.connect.login

Beschreibung: Benutzerrollen-Einstellung, die von jedem Cloud-Identitätsdienst benutzt werden kann.

Schlüssel

Beschreibung

Einstellung

CreateAdminUser

Administratorbenutzer erstellen

Alle Benutzer werden als lokale Administratoren erstellt.

Hinweis: Durch diesen Schlüssel erhalten nur neu erstellte Benutzer lokale Administratorberechtigungen. Er hat keinen Einfluss auf den Status bereits erstellter lokaler Accounts. Wenn Sie bei Ihrem Identitätsdienst Benutzerrollen festgelegt und diese mit der Einstellung Administratorrollen (OIDCAdmin) angegeben haben, kann sich der Status lokaler Benutzeraccounts bei der nächsten Anmeldung möglicherweise ändern.

<key>CreateAdminUser</key>

<false/>

Einstellungen für die Benutzerrolle bei OpenID Connect Authentifizierung

Domäne: com.jamf.connect.login

Beschreibung: Zum Konfigurieren der Benutzerrollen basierend auf ID-Tokens bei OpenID Connect Authentifizierung

Schlüssel

Beschreibung

Einstellung

OIDCAdminAttribute

Administratorattribut

Gibt an, anhand von welchem in einem ID-Token gespeicherten Attribut bestimmt wird, ob für einen Benutzer ein normaler lokaler Account oder ein lokaler Administratoraccount erstellt werden soll. Standardmäßig benutzt Jamf Connect das Attribut „groups“ und sucht darin nach den in der Einstellung Administratorrollen (OIDCAdmin) angegebenen Werten.

Hinweis:

  • Wenn Sie Azure AD verwenden, stellen Sie diesen Wert auf „roles“ ein.

  • Wenn Sie Google Identity verwenden, können die Benutzerrollen nicht anhand eines ID-Tokens definiert werden.

<key>OIDCAdminAttribute</key>

<string>groups</string>

OIDCAdmin

Administratorrollen

Gibt an, welche in Ihrem Identitätsdienst konfigurierten Benutzerrollen (oder Gruppen) während der Accounterstellung zu lokalen Administratoren werden. Sie können eine Rolle als Zeichenfolge oder mehrere Rollen als Array von Zeichenfolgen angeben. Jamf Connect sucht nach diesen Werten standardmäßig im Attribut „groups“ des ID-Tokens, sofern in der Einstellung Administratorattribut (OIDCAdminAttribute) nichts anderes konfiguriert ist.

Hinweis: Wenn Sie Google Identity verwenden, können die Benutzerrollen nicht anhand eines ID-Tokens definiert werden.

<key>OIDCAdmin</key>

<string>Rolle</string>

 

oder

 

<key>OIDCAdmin</key>

<array>

<string>Rolle-1</string>

<string>Rolle-2</string>

<string>Rolle-3</string>

<string>Rolle-4</string>

</array>

OIDCIgnoreAdmin

Rollen ignorieren

Mit der Einstellung „true“ werden von Jamf Connect Login alle Rollen ignoriert, die im Identitätsdienst möglicherweise festgelegt sind. Durch die Verwendung dieses Schlüssels wird sichergestellt, dass der einem lokalen Benutzeraccount aktuell zugewiesene Status („Administrator“ oder „Standard“) nicht geändert wird.

Mit der Einstellung „false“ oder „unspecified“ wird von Jamf Connect Login zum Konfigurieren von Rollen der Schlüssel „OIDCAdmin“ verwendet und der Status des lokalen Benutzeraccounts wird ausgehend von eventuell im Identitätsdienst festgelegten Rollen geändert.

<key>OIDCIgnoreAdmin</key>

<false/>

Einstellungen für die Benutzerrolle bei Verwendung von Okta

Domäne: com.jamf.connect.login

Beschreibung: (Nur Okta) Zur Konfiguration der Benutzerrollen für neue lokale Accounts.

Schlüssel

Beschreibung

Beispiel

OIDCAccessClientID

Client-ID für Zugriff

OIDC-Anwendung, die für Benutzer benutzt wird, die Accounts erstellen oder sich bei Benutzern anmelden dürfen.

 

Hinweis: Alle Benutzer, auch Benutzer mit der Rolle „Administrator“, müssen dieser App in Ihrer Okta Administratorkonsole hinzugefügt werden, um auf Jamf Connect Login zugreifen zu können.

<key>OIDCAccessClientID</key>

<string>0oad0gmia54gn3y8923h1</string>

OIDCAdminClientID

Client-ID für Administrator

OIDC-Anwendung, die für Benutzer benutzt wird, die während der Accounterstellung als lokale Administratoren erstellt werden.

 

Hinweis: Dieser App sollten in Ihrer Okta Administratorkonsole nur Administratoren hinzugefügt werden.

<key>OIDCAdminClientID</key>

<string>0oa0gwese54gn3y9O0h4</string>

OIDCSecondaryLoginClientID

Sekundäre Client-ID für Anmeldung

OIDC-Anwendung, die für Benutzer benutzt wird, die weitere Benutzer auf Computern erstellen dürfen, nachdem der erste Account erstellt ist.

<key>OIDCSecondaryLoginClientID</key>

<string>0oa0grdsrhdsre54gn3y9O0h4</string>

Einstellungen für die Multi-Faktor-Authentifizierung mit Okta

Domäne: com.jamf.connect.login

Beschreibung: (Nur Okta) Zur Anpassung von MFA-Optionen und Text.

Schlüssel

Beschreibung

Beispiel

MessageOTPEntry

(Nur bei Okta) Text, der angezeigt wird, wenn ein Benutzer bei der Multi-Faktor-Authentifizierung (MFA) ein Einmalpasswort (OTP) eingeben muss.

<key>MessageOTPEntry</key>

<string>Geben Sie Ihren Verifizierungscode ein.</string>

MFARename

(Nur Okta)

Benutzerdefinierte Bezeichnungen für jede MFA-Option, die mit Okta Authentifizierung in Ihrer Organisation benutzt wird. Weitere Informationen über die Arten von MFA-Optionen, die Sie mit Jamf Connect und Okta konfigurieren können, finden Sie unter Mehrfaktorauthentifizierung.

Weitere Informationen über die MFA-Optionen bei Verwendung von Okta finden Sie in der folgenden Dokumentation von Okta: https://support.okta.com/help/s/setting-up-mfa-for-end-users?language=en_US

<key>MFARename</key>
<dict>
<key>push</key>
<string>Okta Verify app: Push Notification</string>
<key>question</key>
<string>Okta Security Questions</string>
<key>web</key>
<string>Duo Mobile app</string>
<key>sms</key>
<string>Okta SMS: Verification Code</string>
<key>google:token:software:totp</key>
<string>Google Authenticator app: Verification Code</string>
<key>okta:token:software:totp</key>
<string>Okta Verifiy app: Verification Code</string>
<key>token:hardware</key>
<string>USB Security Key</string>
</dict>

MFAExcluded

(Nur Okta) Liste mit MFA-Optionen, die den Benutzern nicht angezeigt werden sollen.

<key>MFAExcluded</key>
<array>
<string>push</string>
<string>question</string>
<string>okta:token:software:totp</string> <string>google:token:software:totp</string> <string>token:hardware</string>
<string>webauthn</string> <string>web</string> </array>

Erweiterte Authentifizierungseinstellungen beim Anmelden

Domäne: com.jamf.connect.login

Beschreibung: Dient dazu, erweiterte Authentifizierungseinstellungen zu konfigurieren und benutzerdefinierte Ansprüche in einem ID-Token zu verwenden.

Schlüssel

Beschreibung

Beispiel

OIDCAuthServer

Benutzerdefinierter Server für die Authentifizierung mit Okta

(Nur Okta) Gibt einen benutzerdefinierten Autorisierungsserver für Ihren Okta Mandanten an, der bei der Erstellung des lokalen Accounts zum Senden benutzerdefinierter Anwendungsbereiche und Ansprüche im ID-Token (gespeichert über den Schlüssel OIDCTokenPath) eines Benutzers verwendet werden kann.

Um diesen Wert festzulegen, verwenden Sie die ID des benutzerdefinierten Autorisierungsservers, die als Zeichenfolge am Ende der Aussteller-URI Ihres benutzerdefinierten Autorisierungsservers zu finden ist. In der Aussteller-URI unter „aus9o8wzkhckw9TLa0h7z“ steht die Autorisierungsserver-ID.

Beispiel: https://ihr-benutzerdefinierter-autorisierungsserver.okta.com/oauth2/aus8o8wzjhckw9TLa0t8q

Diese Einstellung sollte nur verwendet werden, wenn Ihr Okta Mandant einen eigenen Autorisierungsserver hat, mit dem OpenID Connect Apps und ID-Token-Attribute verwaltet werden. Wird diese Einstellung mit den selben Werten konfiguriert wie der primäre Mandant für den Auth Server (AuthServer), kann es bei der Authentifizierung bei Okta zu unterwarteten Fehlern kommen.

Weitere Informationen zum Erstellen eines benutzerdefinierten Autorisierungsservers finden Sie in der folgenden Dokumentation von Okta: https://developer.okta.com/docs/guides/customize-authz-server/overview/

<key>OIDCAuthServer</key>

<string>aus8o8wzjhckw9TLa0t8q</string>

OIDCIgnoreCookies

Cookies ignorieren

Sorgt dafür, dass von der loginwindow Anwendung gespeicherte Cookies ignoriert werden.

<key>OIDCIgnoreCookies</key>

<false/>

OIDCScopes

Anwendungsbereiche für OpenID Connect

Hiermit werden benutzerdefinierte Anwendungsbereiche festgelegt, mit denen bei der Autorisierung zusätzliche Ansprüche im ID-Token eines Benutzers angegeben werden. Zu den standardmäßigen Anwendungsbereichen gehören openid, profile und offline_access. Wenn Sie mehrere Bereiche hinzufügen, trennen Sie diese mit dem „+“ -Symbol.

<key>OIDCScopes</key>

<string>openid+profile</string>

OIDCShortName

Kurzname

Hiermit wird angegeben, welcher Anspruch aus dem ID-Token des Benutzers als Kurzname des Accounts verwendet werden soll. Der Kurzname wird dem lokalen Account des Benutzers als Aliasname hinzugefügt.

Hinweis: Wenn der Anspruch, den Sie verwenden möchten, nicht im Standard-ID-Token enthalten ist, können Sie zusätzliche Ansprüche über ein ID-Token beziehen, indem Sie mit dem Einstellungsschlüssel OIDCScopes zusätzliche Ansprüche angeben.

<key>OIDCShortName</key>

<string>angegebener_name</string>

OIDCIDTokenPath

Pfad für formatiertes ID-Token

Hiermit wird der Dateipfad angegeben, unter dem das formatierte ID-Token eines Benutzers gespeichert werden kann.

Hinweis: Dieser Schlüssel erfordert, dass der „RunScript“-Mechanismus aktiviert ist. Weitere Informationen finden Sie unter Anmeldeskripte.

<key>OIDCIDTokenPath</key>

<string>/tmp/token</string>

OIDCIDTokenPathRaw

Pfad für das ID-Token in Rohdatenform

Hiermit wird der Dateipfad angegeben, der zum Speichern des ID-Tokens eines Benutzers in Rohdatenform verwendet wird.

Hinweis: Dieser Schlüssel erfordert, dass der „RunScript“-Mechanismus aktiviert ist. Weitere Informationen finden Sie unter Anmeldeskripte.

<key>OIDCIDTokenPathRaw</key>

<string>/tmp/token-raw</string>

Einstellungen für FileVault

Domäne: com.jamf.connect.login

Beschreibung: Zum Konfigurieren der Aktivierung von FileVault mit Jamf Connect.

Schlüssel

Beschreibung

Beispiel

EnableFDE

FileVault aktivieren

Bei der Einstellung „true“ wird FileVault für den ersten Benutzer aktiviert, der sich an einem Computer anmeldet.

<key>EnableFDE</key>

<false/>

EnableFDERecoveryKey

FileVault Wiederherstellungsschlüssel speichern

Bei der Einstellung „true“ wird der persönliche Wiederherstellungsschlüssel (PRK) unter /var/db/NoMADFDE gespeichert, sofern kein anderer Speicherort angegeben ist.

<key>EnableFDERecoveryKey</key>

<false/>

EnableFDERecoveryKeyPath

Dateipfad für Wiederherstellungsschlüssel festlegen

Gibt einen benutzerdefinierten Dateipfad für den persönlichen Wiederherstellungsschlüssel an, der anstelle der Standardeinstellung /var/db/NoMADFDE benutzt werden soll.

<key>EnableFDERecoveryKeyPath</key>

<string>/usr/local/filevault</string>

LAPSUser

LAPS-Benutzer

Ein bestehender lokaler Administratoraccount, dessen Passwort von Jamf Connect in den persönlichen Wiederherstellungsschlüssel geändert werden kann.

Diese Einstellung wird von Jamf Connect nur verwendet, um FileVault für Standardaccounts auf macOS 10.15.x zu aktivieren.

<key>LAPSUser</key>

<string>AdminUser</string>

Einstellungen für Nutzungsbedingungen

Domäne: com.jamf.connect.login

Beschreibung: Zum Konfigurieren von Nutzungsbindungen, die Benutzern im Jamf Connect Anmeldefenster angezeigt werden.

Schlüssel

Beschreibung

Beispiel

EULAPath

Audit-Dateipfad

Gibt den Dateipfad zu einem Verzeichnis an, in dem ein Protokoll über die Zustimmung des Benutzers zu den Nutzungsbedingungen gespeichert wird.

<key>EULAPath</key>

<string>/usr/local/shared</string>

EULAText

Text der Nutzungsbedingungen

Der eigentliche Textinhalt der Nutzungsbedingungen

<key>EULAText</key>

<string>Hier EULA-Text einfügen</string>

EULATitle

Titel der Nutzungsbedingungen

Ein Titel für die Nutzungsbedingungen

<key>EULATitle</key>

<string>Allgemeine Nutzungsbedingungen</string>

EULASubTitle

Untertitel der Nutzungsbedingungen

Ein Untertitel für die Nutzungsbedingungen

<key>EULASubTitle</key

<string>Sie müssen den Nutzungsbedingungen zustimmen, ehe Sie Ihren Mac verwenden können.</string>

Einstellungen für Anmeldeskripte

Domäne: com.jamf.connect.login

Beschreibung: Zum Ausführen von Skripten während des Anmeldevorgangs.

Hinweis: Sie müssen den „RunScript“-Mechanismus zunächst aktivieren, bevor Sie die zugehörigen Skripteinstellungen konfigurieren können.

Schlüssel

Beschreibung

Beispiel

ScriptArgs

Skriptargumente

Die Argumente, die mit einem bestimmten Skript verwendet werden sollen, das mithilfe des Mechanismus „RunScript“ ausgeführt wird.

Hinweis: Der Schlüssel ScriptPath muss konfiguriert werden.

<key>ScriptArgs</key>

<array>

<string>-v</string>

<string>-user</string>

</array>

ScriptPath

Skriptpfad

Gibt den Pfad zu einem Skript oder zu einer anderen ausführbaren Datei an, die mit dem Mechanismus „RunScript“ ausgeführt werden soll. Sie können mit Jamf Connect Login immer nur ein Skript gleichzeitig verwenden.

<key>ScriptPath</key>

<string>/usr/local/bin/loginScript</string>

NotifyLogStyle

Jamf Pro Richtlinienprotokolle als Statusaktualisierungen im „Notify“-Bildschirm anzeigen

Wenn der „Notify“-Bildschirm von Jamf Connect konfiguriert ist, werden Richtlinienprotokolle von Jamf Pro während der automatischen Geräteregistrierung (früher DEP) als Statusaktualisierungen für Benutzer angezeigt.

Um diese Einstellung zu aktivieren, setzen Sie diesen Wert auf „jamf“.

<key>NotifyLogStyle</key>

<string>jamf</string>

Einstellungen für das Pluggable Authentication Module (PAM)

Domäne: com.jamf.connect.login

Beschreibung: Hiermit kann auf Computern die Authentifizierung mit dem PAM aktiviert werden.

Schlüssel

Beschreibung

Beispiel

AuthUIOIDCProvider

Identitätsdienst (PAM)

Der Identitätsdienst, der bei der Authentifizierung mit dem Pluggable Authentication Module (PAM) verwendet werden soll.

<key>AuthUIOIDCProvider</key>

<string>identitätsanbieter-einfügen</string>

AuthUIOIDCClientID

Client-ID (PAM)

Die Client-ID der bei Ihrem Identitätsdienst erstellten Jamf Connect App, die für die Authentifizierung des Benutzers über das PAM verwendet wird.

<key>AuthUIOIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

Weiterleitungs-URI (PAM)

Die Weiterleitungs-URI, die von der bei Ihrem Identitätsdienst erstellten Jamf Connect App verwendet wird.

<key>AuthUIOIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

Mandanten-ID (PAM)

Die Mandantenkennung bei Ihrem Identitätsdienst, die für die Authentifizierung über das PAM verwendet wird.

Hinweis: Wenn Sie als Identitätsdienst Okta verwenden, muss dieser Schlüssel angegeben werden.

<key>AuthUIOIDCTenant</key>

<string>dev-123456</string>

AuthUIOIDCClientSecret

Client-Geheimnis (PAM)

Das Client-Geheimnis, das von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird. Dieser Wert ist nur Jamf Connect und Ihrem Identitätsdienst bekannt.

<key>AuthUIOIDCClientSecret</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2020 Jamf. Alle Rechte vorbehalten.