Integration mit Google Identity

Die Integration von Jamf Connect mit Google Cloud Identity umfasst zwei separate Integrationsschritte zur Verwendung sowohl des Anmeldefensters als auch der Menüleisten-App:

Erstellen einer OpenID Connect Integration für das Anmeldefenster

Jamf Connect verwendet das OpenID Connect Authentifizierungsprotokoll zur Erstellung lokaler Accounts und zur Benutzeranmeldung per Netzwerkauthentifizierung.

Erstellen und Bereitstellen eines LDAP-Zertifikats für die Passwort-Synchronisierung mit der Menüleisten-App

Jamf Connect nutzt die LDAP-Authentifizierung über den Google Secure LDAP-Dienst, um zu verifizieren, ob das Netzwerkpasswort eines Benutzers mit dem lokalen Passwort auf dem Mac übereinstimmt.

Erstellen einer OpenID Connect App-Integration für das Anmeldefenster

Sie müssen Jamf Connect in Google ID integrieren, indem Sie für die Anwendung Anmeldedaten gemäß OAuth 2.0 erstellen.

  1. Melden Sie sich bei Google Cloud an.
  2. Klicken Sie auf das Navigationsmenü-Symbol in der oberen linken Bildschirmecke.
  3. Klicken Sie auf APIs & Services (APIs & Dienste)  > Credentials (Anmeldedaten).
    Hinweis:

    Sie werden möglicherweise aufgefordert, ein Projekt anzulegen und Ihrer Organisation zuzuweisen.

  4. Wählen Sie im Einblendmenü Anmeldedaten erstellen die Option OAuth-Client-ID aus.
  5. Gehen Sie auf der Seite „OAuth-Client-ID erstellen“ wie folgt vor:
    1. Wählen Sie unter „Anwendungstyp“ die Option Webanwendung aus.
    2. Geben Sie im Feld Name Jamf Connect oder eine benutzerdefinierte Bezeichnung ein.
    3. Geben Sie im Feld Autorisierte Weiterleitungs-URIs eine gültige URI ein, z. B. https://127.0.0.1/jamfconnect.
  6. Klicken Sie auf Create (Erstellen).

Ihre Client-Anmeldedaten für Jamf Connect wurden erfolgreich erstellt und ein Fenster mit Ihrer Client-ID und Ihrem Client-Geheimnis wird angezeigt.

Kopieren Sie Ihre Client-ID und Ihr Client-Geheimnis in Ihre Zwischenablage. Diese Werte müssen in Ihr Jamf Connect Konfigurationsprofil aufgenommen werden.

Wichtig:

Sie müssen außerdem den OAuth-Zustimmungsbildschirm bei Google konfigurieren, auf dem eine Erläuterung für den Benutzer aufgeführt wird, auf welche Daten aus seinem Google Account Jamf Connect zugreift. Um diesen Bildschirm zu konfigurieren, navigieren Sie zu API & Dienste > Anmeldedaten > OAuth-Zustimmungsbildschirm.

Generieren einer PKCS12 (.p12)-Keystore-Datei über einen Google Cloud LDAP-Client

Der Google Secure LDAP-Dienst generiert ein Zertifikat, das als primärer Authentifizierungsmechanismus für die LDAP-Clients zur Authentifizierung bei Secure LDAP dient.

Dieses Zertifikat wird verwendet, um Jamf Connect die Synchronisierung des Google Passworts und des lokalen Passworts eines Benutzers auf einem Mac Computer zu ermöglichen.

Anforderungen
  • Ein Google Identity Abonnement mit dem LDAP-Dienst von Google, sodass Sie ein Zertifikat herunterladen können.

    Eine Liste der unterstützten Google Identity Abonnements finden Sie unter Unterstützte cloudbasierte Identitätsdienste. Weitere Informationen zum Secure LDAP-Dienst von Google finden Sie unter Secure LDAP auf der Google Workspace-Admin-Hilfe Website und unter Neue LDAP-Clients hinzufügen und verbinden auf der Cloud Identity-Hilfe Website von Google.
  • OpenSSL muss in Ihrer lokalen Umgebung installiert sein, um das Zertifikat und den Schlüssel in das .p12 Keystore-Format umzuwandeln.

  1. Melden Sie sich bei Ihrer Admin-Konsole von Google an.
  2. Klicken Sie auf Apps und dann auf LDAP.
  3. Wählen Sie den LDAP-Client aus, der mit Jamf Pro integriert werden soll.

    Der Status des Dienst-Schalters muss für den ausgewählten LDAP-Client auf Ein gesetzt werden.

  4. Klicken Sie auf Authentifizierung.
  5. Laden Sie die Zertifikatdatei herunter, die Sie für die Integration mit Jamf Pro verwenden werden.
  6. Extrahieren Sie das heruntergeladene Archiv. Die Ausgabe sollte die Zertifikatdatei (.crt) und die private Schlüsseldatei (.key) enthalten.
  7. Führen Sie den folgenden Befehl aus, um die .p12-Keystore-Datei zu generieren:
    openssl pkcs12 -export -out /path/to/generated/keystore.p12 -inkey /path/to/saved/privatekey.key -in /path/to/saved/certificate.crt
  8. Erstellen Sie ein Passwort, wenn Sie dazu aufgefordert werden.

    Dies ist das Passwort, das Sie für den Zugriff auf die Keystore-Datei benötigen werden. Bewahren Sie dieses Passwort sicher auf.

Sie können jetzt die generierte .p12-Keystore-Datei zu Jamf Pro hochladen oder sie lokal zum Systemschlüsselbund eines Computers hinzufügen.

Bereitstellen einer .p12-Keystore-Datei über Jamf Pro

Eine über einen LDAP-Client in Ihrer Admin-Konsole von Google generierte .p12-Keystore-Datei muss auf Computern installiert werden, um Jamf Connect die Synchronisierung von Benutzerpasswörtern zu ermöglichen.

Sie können diese Datei über Jamf Pro bereitstellen, indem Sie sie in die Payload „Zertifikate“ in einem Konfigurationsprofil hochladen.

  1. Klicken Sie oben in der Seitenleiste in Jamf Pro auf Computer .
  2. Klicken Sie in der Seitenleiste auf Konfigurationsprofile .
  3. Klicken Sie auf Neu .
  4. Verwenden Sie die Payload „Allgemein“, um grundlegende Einstellungen für das Konfigurationsprofil festzulegen.
  5. Klicken Sie in der Payload „Zertifikate“ auf Konfigurieren.
  6. Geben Sie einen Namen für Ihr Zertifikat ein.
  7. Laden Sie die generierte .p12-Datei hoch und geben Sie das LDAP-Keystore-Passwort ein.
  8. Wählen Sie Zugriff für alle Apps zulassen.
  9. Klicken Sie auf Speichern .

Das Konfigurationsprofil wird auf den Ziel-Computern bereitgestellt.

Manuelles Installieren einer .p12-Keystore-Datei

Eine über einen LDAP-Client in Ihrer Admin-Konsole von Google generierte .p12-Keystore-Datei muss auf Computern installiert werden, um Jamf Connect die Synchronisierung von Benutzerpasswörtern zu ermöglichen.

Sie können diese Datei manuell installieren, indem Sie sie über die Schlüsselbundverwaltung zum Systemschlüsselbund hinzufügen.

  1. Öffnen Sie die Schlüsselbundverwaltung und legen Sie die .p12-Datei per Drag-and-Drop im Bereich Systemschlüsselbund ab.
  2. Wenn Sie dazu aufgefordert werden, geben Sie das LDAP-Client-Keystore-Passwort ein, das Sie beim Generieren der Keystore-Datei erstellt haben.
  3. Klicken Sie im Bereich Systemschlüsselbund auf den Tab Meine Zertifikate.
  4. Bearbeiten Sie die Vertrauenseinstellungen für das LDAP-Zertifikat, damit dieses immer als vertrauenswürdig gilt:
    1. Klicken Sie mit der rechten Maustaste auf das LDAP-Zertifikat und klicken Sie auf „Name Ihres Zertifikats“ überprüfen ... Und dann auf Fortfahren.
    2. Klicken Sie auf Zertifikat einblenden ...
    3. Erweitern Sie das Menü Vertrauen und wählen Sie die Option Immer vertrauen aus dem Einblendmenü aus.
  5. Zugriff auf das Zertifikat für alle Anwendungen zulassen:
    1. Klicken Sie neben dem LDAP-Zertifikat auf das Dreiecksymbol zum Erweitern.
      Der private LDAP-Schlüssel wird angezeigt.
    2. Doppelklicken Sie auf den privaten Schlüssel.
      Das Fenster Privater Schlüssel wird angezeigt.
    3. Stellen Sie sicher, dass die Option Allen Programmen den Zugriff ermöglichen ausgewählt ist.
      Hinweis:

      Wenn Sie den Zugriff auf ldapsearch beschränken, können Sie /usr/bin/ldapsearch zur Liste der Anwendungen mit Zugriff hinzufügen.