Synchronisieren von Passwort-Hashes und Passthrough-Authentifizierung

Das Synchronisieren von Passwort-Hashwerten und die Passthrough-Authentifizierung sind Authentifizierungsmethoden, die in einer Azure AD Umgebung mit Hybrididentität implementiert werden können. Sie stellen ein Vertrauensverhältnis zwischen Azure AD und Active Directory her und können auf die folgende Weise Passwörter zwischen diesen synchronisieren:

  • Synchronisieren von Passwort-Hashwerten – Hiermit werden der Hashwert des Passworts für den Azure AD Account und der Hashwert des organisationseigenen Active Directory Passworts miteinander synchronisiert.

  • Passthrough-Authentifizierung – Hiermit können sich Benutzer mit demselben Passwort bei ihrem Azure AD Account und bei dem von ihrer Organisation bereitgestellten AD Account authentifizieren.

Wenn Sie eine dieser Authentifizierungsmethoden verwenden, kann Jamf Connect mit einer dieser Methoden zusammenarbeiten, indem Sie Jamf Connect dazu einrichten, die Endpunkte der Microsoft Identity Platform (Version 2.0) zur Authentifizierung zu benutzen. Dadurch kann Jamf Connect Azure AD benutzen, um Benutzer am Anmeldefenster zu authentifizieren, und indirekt das lokale Passwort des Benutzers mit dessen Active Directory Passwort synchronisieren.

Weitere Informationen über durch Microsoft Identity Platform (v2.0) finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/de-de/azure/active-directory/develop/azure-ad-endpoint-comparison

Konfigurieren von Jamf Connect für die Synchronisierung von Passwort-Hashwerten oder Umgebungen mit Passthrough-Authentifizierung

Anforderungen

  • Eine in Azure AD registrierte Jamf Connect App.
    Eine Anleitung finden Sie unter Identitätsdienst-Integrationen.

  • Azure AD Connect.

  • In Active Directory gespeicherte Benutzer-Anmeldedaten.

Verfahren

  1. Vergewissern Sie sich davon, dass ihre Azure AD Umgebung die Synchronisierung von Passwort-Hashwerten oder Passthrough-Authentifizierung benutzt, und dass Azure AD Connect korrekt eingerichtet ist.

  2. Fügen Sie Ihrem /Library/Preferences/com.jamf.connect.login Konfigurationsprofil die folgenden Einstellungsschlüssel hinzu, um die Authentifizierung am Anmeldefenster zu konfigurieren:

    Schlüssel

    Beschreibung

    Beispiel

    OIDCProvider

    Identitätsdienst

    Legt Azure AD als den für die Authentifizierung zu verwendenden cloudbasierten Identitätsdienst fest

    <key>OIDCProvider</key>
    <string>Azure</string>

    OIDCClientID

    Client-ID

    Die Client-ID der registrierten Jamf Connect App.

    <key>OIDCClientID</key>
    <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>

    OIDCNewPassword

    Separates lokales Passwort erstellen

    Fordert den Benutzer auf, sein Netzwerkpasswort erneut einzugeben. Dieses wird dann als Passwort für den lokalen Account übernommen. So ist sichergestellt, dass das Netzwerkpasswort und das lokale Passwort des Benutzers beim Erstellen des Benutzers synchronisiert werden.

    <key>OIDCNewPassword</key>
    <false/>

    ROPGProvider

    Identitätsdienst (Passwortverifizierung)

    Gibt an, wohin Jamf Connect versuchen soll, Passwörter zu synchronisieren. Stellen Sie als Wert „Azure_v2“ ein. Dies ermöglicht Jamf Connect die Verwendung der Endpunkte von Microsoft Identity Platform (v2.0) zur Passwortverifizierung.

    <key>ROPGProvider</key>
    <string>Azure_v2</string>

    OIDCROPGID

    Client-ID (Passwortverifizierung)

    Die Client-ID der registrierten Jamf Connect App. Hier sollte der gleiche Wert wie beim Einstellungsschlüssel OIDCClientID eingetragen werden.

    <key>OIDCROPGID</key>
    <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>

    ROPGTenant

    Mandanten-ID (Passwortverifizierung)

    Die Mandanten-ID, die in Ihrer Organisation für die Passwortverifizierung benutzt wird.

    <key>ROPGTenant</key>
    <string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>


  3. Fügen Sie Ihrem com.jamf.connect Konfigurationsprofil die folgenden IdPSettings Einstellungsschlüssel hinzu, um die Passwortsynchronisation mit der Menüleisten-App zu konfigurieren:

    Schlüssel

    Beschreibung

    Einstellung

    Provider

    Identitätsdienst

    Gibt an, wohin Jamf Connect versuchen soll, Passwörter zu synchronisieren. Stellen Sie als Wert „Custom“ ein.

    <key>Provider</key>

    <string>Custom</key>

    ROPGID

    Client-ID

    Die Client-ID Ihrer Jamf Connect App bei Ihrem Identitätsdienst. Dieser Wert erlaubt es Jamf Connect, eine Ressourcenbesitzer-Passwortgewährung (ROPG) durchzuführen. Dies ist der Prozess, der die Passwortverifizierung vornimmt.

    <key>ROPGID</key>

    <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

    DiscoveryURL

    Ermittlungs-URL

    Gibt den Endpunkt für die Ermittlung per OpenID Connect an.

    <key>DiscoveryURL</key>

    <string>https://domaene.url.de/.bekannte/openid-konfiguration</string>

  4. Testen Sie Ihre Konfigurationsprofile mit Jamf Connect Configuration oder einem Testcomputer, um sich davon zu vergewissern, dass die Authentifizierung korrekt konfiguriert ist.

  5. Speichern Sie Ihre Konfigurationsprofile.

Sie können Ihre Konfigurationsprofile jetzt mit einer MDM-Lösung bereitstellen. Weitere Informationen finden Sie unter Bereitstellung.

Weiterführende Informationen

Weiterführende Informationen finden Sie hier:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2020 Jamf. Alle Rechte vorbehalten.