Integration von Verbunddiensten

Eine Verbunddienst-Integration ist eine Lösung mit Hybrididentität, die es Ihrem cloudbasierten Identitätsdienst ermöglicht, die Authentifizierung an eine andere Authentifizierungsstelle zu übergeben, z. B. an eine lokal in der Organisation bereitgestellte Instanz von Active Directory Federate Services (AD FS).

Wenn in Ihrer Umgebung eine Verbunddienst-Integration mit AD FS implementiert ist, können Sie Jamf Connect mit dieser zusammenarbeiten lassen, indem Sie Jamf Connect dazu konfigurieren, verschiedene lokale und/oder Cloud-Endpunkte zur Authentifizierung und Passwortsynchronisation konfigurieren.

  • Azure AD – Benutzen Sie eine registrierte App und Endpunkte in Azure AD für die Autorisierungscodegewährung, die Zugriffs-, Refresh- und ID-Token von Azure AD bezieht.

  • AD FS – Benutzen Sie eine AD FS App und Endpunkte für die Ressourcenbesitzer-Passwortgewährung (ROPG), die den lokalen Benutzernamen und das Passwort des Benutzers prüft und mit einem von der Organisation bereitgestellten Active Directory synchronisiert.

Weitere Informationen zu Verbunddienst-Integrationen mit Azure AD finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/azure/active-directory/hybrid/how-to-connect-fed-whatis

Konfigurieren von Jamf Connect mit AD FS

Anforderungen

Verfahren

  1. Vergewissern Sie sich davon, dass Ihre Azure AD und AD FS Umgebungen erfolgreich konfiguriert und für die OpenID Connect Authentifizierungsprotokolle aktiviert sind.

  2. Fügen Sie Ihrem Konfigurationsprofil für das Anmeldefenster die folgenden Einstellungsschlüssel hinzu:

    Schlüssel

    Beschreibung

    Beispiel

    OIDCProvider

    Identitätsdienst

    Legt Azure AD als den für die Authentifizierung zu verwendenden cloudbasierten Identitätsdienst fest.

    <key>OIDCProvider</key>
    <string>Azure</string>

    OIDCClientID

    Client-ID

    Die für die Authentifizierung des Benutzers verwendete Client-ID der App, die bei Ihrem Identitätsdienst registriert wurde.

    <key>OIDCClientID</key>
    <string>8zcc52c7-ee36-4889-8517-lkjslkjoe23</string>

    OIDCNewPassword

    Separates lokales Passwort erstellen

    Fordert den Benutzer auf, sein Netzwerkpasswort erneut einzugeben. Dieses wird dann als Passwort für den lokalen Account übernommen. So ist sichergestellt, dass das Netzwerkpasswort und das lokale Passwort des Benutzers beim Erstellen des Benutzers synchronisiert werden.

    <key>OIDCNewPassword</key>
    <false/>

    ROPGProvider

    Identitätsdienst (Passwortverifizierung)

    Gibt an, wohin Jamf Connect versuchen soll, Passwörter zu synchronisieren. Stellen Sie hier den Wert „Custom“ ein. Dies erlaubt Jamf Connect, AD FS zu verwenden.

    <key>ROPGProvider</key>
    <string>Custom</string>

    OIDCROPGID

    Client-ID (Passwortverifizierung)

    Die Client-ID Ihrer Jamf Connect AD FS Anwendung

    <key>OIDCROPGID</key>
    <string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>

    ROPGRedirectURI

    Weiterleitungs-URI (Passwortverifizierung)

    Dies ist die Weiterleitungs-URI, die von der erstellten Anwendung für ADFS verwendet wird.

    <key>ROPGRedirectURI</key>
    <string> https://127.0.0.1/jamfconnect</string>

    ROPGDiscoveryURL

    Ermittlungs-URL (Passwortverifizierung)

    Gibt den Endpunkt für die Ermittlung per OpenID Connect an. Geben Sie als Wert Ihre ADFS Domäne sowie Folgendes an: „/adfs/.bekannte/openid-konfiguration“

    <key>ROPGDiscoveryURL</key>
    <string> https://adfs.jamfconnect.com/adfs/.bekannte/openid-konfiguration</string>

  3. Fügen Sie Ihrem Konfigurationsprofil für die Menüleiste die folgenden IdPSettings Verzeichnisschlüssel hinzu:

    Schlüssel

    Beschreibung

    Beispiel

    Provider

    Identitätsdienst

    Gibt an, wohin Jamf Connect versuchen soll, Passwörter zu synchronisieren. Stellen Sie hier den Wert „Custom“ ein. Dies erlaubt Jamf Connect, AD FS zu verwenden.

    <key>Provider</key>

    <string>Custom</key>

    DiscoveryURL

    Ermittlungs-URL

    Gibt den Endpunkt für die Ermittlung per OpenID Connect an. Geben Sie als Wert Ihre ADFS Domäne sowie Folgendes an: „/adfs/.bekannte/openid-konfiguration“

    <key>DiscoveryURL</key>
    <string>https://adfs.jamfconnect.com/adfs/.bekannte/openid-konfiguration</string>

    ROPGID

    Client-ID

    Die Client-ID Ihrer Jamf Connect AD FS Anwendung

    <key>ROPGID</key>
    <string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>

  4. Testen Sie Ihre Konfigurationsprofile mit Jamf Connect Configuration oder einem Testcomputer, um sich davon zu vergewissern, dass die Authentifizierung korrekt konfiguriert ist.

  5. Speichern Sie Ihre Konfigurationsprofile.

Sie können die Konfigurationsprofile jetzt mit einer MDM-Lösung bereitstellen.

Weiterführende Informationen

Weiterführende Informationen finden Sie hier:

Weiterführende Informationen zur Verwendung dieses Prozesses mit PingFederate als Verbunddienst-Integration finden Sie in der nachstehenden Dokumentation von Microsoft: https://docs.microsoft.com/azure/active-directory/hybrid/how-to-connect-install-custom#configuring-federation-with-pingfederate

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2020 Jamf. Alle Rechte vorbehalten.