Benutzerdefinierte Kurznamen

Der Kurzname (auch als Accountname bezeichnet) eines lokalen macOS Accounts wird verwendet, um Dateien und Informationen über einen Benutzer auf Mac Computern nachzuverfolgen. Der Kurzname entspricht dem Namen des Benutzerordners und kann auch zur Anmeldung an Computern verwendet werden.

Jamf Connect verwendet den Inhalt des ID-Tokens eines Benutzers (im JSON-Web-Token-Format), um den Kurznamen eines neuen lokalen Accounts zu bestimmen. Nach erfolgreicher Authentifizierung erhält Jamf Connect ein ID-Token von Ihrem Cloud-Identitätsdienst und sucht nach den folgenden Ansprüchen (ähnlich einer Attributdurchsetzung in SAML), die nacheinander für den Kurznamen verwendet werden sollen:

  1. Ein benutzerdefinierter Anspruch, der durch die Einstellung Short Name Attribute (Kurzname-Attribut) (OIDCShortName) angegeben wird. Allgemeine benutzerdefinierte Ansprüche, die für einen Kurznamen verwendet werden, sind given_name und name.

  2. unique_name

  3. preferred_username

  4. email

  5. sub

Wenn keine Ansprüche vorhanden sind, wird „jamfconnect“ als Kurzname verwendet.

Benutzerdefinierte Kurznamen

Sie können die Einstellung Short Name Attribute (Kurzname-Attribut) (OIDCShortName) in Ihrem Konfigurationsprofil für das Anmeldefenster konfigurieren, um anzupassen, welcher Anspruch in einem ID-Token als lokaler Accountkurzname verwendet wird.

Beachten Sie Folgendes, wenn Sie benutzerdefinierte Kurznamen für lokale Accounts konfigurieren:

  • Sie können zur Konfiguration von Kurznamen nur Ansprüche verwenden, die in einem ID-Token gesendet werden.

  • Wenn der Anspruch, den Sie verwenden möchten, nicht in einem Standard-ID-Token enthalten ist, können Sie zusätzliche Ansprüche beziehen, indem Sie mit der Einstellung OpenID Connect Scopes (OpenID Connect Bereiche) (OIDCScopes) zusätzliche Bereiche anfordern.

    Hinweis: Der in OpenID Connect integrierte Bereich profile enthält häufig verwendete Ansprüche mit Benutzerinformationen.

  • Standardbereiche und -ansprüche, die in einem ID-Token gesendet werden, können je nach Identitätsdienst variieren. Um zu sehen, welche Ansprüche in einem von Ihrem Identitätsdienst gesendeten ID-Token enthalten sind, können Sie eine der folgenden Optionen verwenden:

    • Testfunktion der Jamf Connect Konfiguration

    • Die Einstellung Formatted ID Token Path (Pfad des formatierten ID-Tokens) (OIDCIDTokenPath) zum lokalen Speichern und Anzeigen des Tokens

    • Ein JSON-Web-Token(JWT)-Decoder eines anderen Anbieters.

  • Wenn Jamf Connect verwendet wird, um einen Netzwerkaccount mit einem bestehenden lokalen Account zu verbinden, wird der benutzerdefinierte Kurzname als lokaler Accountalias (ein alternativer Kurzname, der für die lokale Authentifizierung verwendet werden kann) hinzugefügt.

Erweiterte Authentifizierungseinstellungen beim Anmelden

Domäne: com.jamf.connect.login

Beschreibung: Dient dazu, erweiterte Authentifizierungseinstellungen zu konfigurieren und benutzerdefinierte Ansprüche in einem ID-Token zu verwenden.

Schlüssel

Beschreibung

Beispiel

OIDCAuthServer

Benutzerdefinierter Server für die Authentifizierung mit Okta

(Nur Okta) Gibt einen benutzerdefinierten Autorisierungsserver für Ihren Okta Mandanten an, der bei der Erstellung des lokalen Accounts zum Senden benutzerdefinierter Anwendungsbereiche und Ansprüche im ID-Token (gespeichert über den Schlüssel OIDCTokenPath) eines Benutzers verwendet werden kann.

Um diesen Wert festzulegen, verwenden Sie die ID des benutzerdefinierten Autorisierungsservers, die als Zeichenfolge am Ende der Aussteller-URI Ihres benutzerdefinierten Autorisierungsservers zu finden ist. In der Aussteller-URI unter „aus9o8wzkhckw9TLa0h7z“ steht die Autorisierungsserver-ID.

Beispiel: https://ihr-benutzerdefinierter-autorisierungsserver.okta.com/oauth2/aus8o8wzjhckw9TLa0t8q

Diese Einstellung sollte nur verwendet werden, wenn Ihr Okta Mandant einen eigenen Autorisierungsserver hat, mit dem OpenID Connect Apps und ID-Token-Attribute verwaltet werden. Wird diese Einstellung mit den selben Werten konfiguriert wie der primäre Mandant für den Auth Server (AuthServer), kann es bei der Authentifizierung bei Okta zu unterwarteten Fehlern kommen.

Weitere Informationen zum Erstellen eines benutzerdefinierten Autorisierungsservers finden Sie in der folgenden Dokumentation von Okta: https://developer.okta.com/docs/guides/customize-authz-server/overview/

<key>OIDCAuthServer</key>

<string>aus8o8wzjhckw9TLa0t8q</string>

OIDCIgnoreCookies

Cookies ignorieren

Sorgt dafür, dass von der loginwindow Anwendung gespeicherte Cookies ignoriert werden.

<key>OIDCIgnoreCookies</key>

<false/>

OIDCScopes

Anwendungsbereiche für OpenID Connect

Hiermit werden benutzerdefinierte Anwendungsbereiche festgelegt, mit denen bei der Autorisierung zusätzliche Ansprüche im ID-Token eines Benutzers angegeben werden. Zu den standardmäßigen Anwendungsbereichen gehören openid, profile und offline_access. Wenn Sie mehrere Bereiche hinzufügen, trennen Sie diese mit dem „+“ -Symbol.

<key>OIDCScopes</key>

<string>openid+profile</string>

OIDCShortName

Kurzname

Hiermit wird angegeben, welcher Anspruch aus dem ID-Token des Benutzers als Kurzname des Accounts verwendet werden soll. Der Kurzname wird dem lokalen Account des Benutzers als Aliasname hinzugefügt.

Hinweis: Wenn der Anspruch, den Sie verwenden möchten, nicht im Standard-ID-Token enthalten ist, können Sie zusätzliche Ansprüche über ein ID-Token beziehen, indem Sie mit dem Einstellungsschlüssel OIDCScopes zusätzliche Ansprüche angeben.

<key>OIDCShortName</key>

<string>angegebener_name</string>

OIDCIDTokenPath

Pfad für formatiertes ID-Token

Hiermit wird der Dateipfad angegeben, unter dem das formatierte ID-Token eines Benutzers gespeichert werden kann.

Hinweis: Dieser Schlüssel erfordert, dass der „RunScript“-Mechanismus aktiviert ist. Weitere Informationen finden Sie unter Anmeldeskripte.

<key>OIDCIDTokenPath</key>

<string>/tmp/token</string>

OIDCIDTokenPathRaw

Pfad für das ID-Token in Rohdatenform

Hiermit wird der Dateipfad angegeben, der zum Speichern des ID-Tokens eines Benutzers in Rohdatenform verwendet wird.

Hinweis: Dieser Schlüssel erfordert, dass der „RunScript“-Mechanismus aktiviert ist. Weitere Informationen finden Sie unter Anmeldeskripte.

<key>OIDCIDTokenPathRaw</key>

<string>/tmp/token-raw</string>

Weiterführende Informationen

Weiterführende Informationen finden Sie hier:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2020 Jamf. Alle Rechte vorbehalten.