Sicherheit

Die Passwort- und Zertifikatverwaltung ist für die ordnungsgemäße Funktion von Jamf Connect's unerlässlich. Jamf Connect verwendet standardbasierte Technologien für Single Sign-On (SSO) bzw. die Anbindung an Active Directory. Dabei erfolgen Anmeldevorgänge mithilfe von Kerberos, LDAP und sicheren URL-Session-Verbindungen mit Ihrem cloudbasierten Identitätsdienst. Von Jamf Connect werden hierfür die in macOS integrierten Versionen dieser Tools verwendet.

Machen Sie sich mit allen Sicherheitsmechanismen in Jamf Connect vertraut, um sich ein umfassendes Verständnis zu diesen Interaktionen anzueignen und die Sicherheit Ihrer Informationen zu gewährleisten.

Haftungsausschluss:

In Jamf Connect kann es unter Umständen dazu kommen, dass Benutzer mit demselben Benutzernamen und Passwort beim falschen lokalen Account angemeldet werden. Damit sichergestellt wird, dass Benutzer beim jeweils richtigen Account angemeldet werden, sollte deshalb eine Multi-Faktor-Authentifizierung (MFA) erfolgen. Jamf übernimmt keine Verantwortung oder Haftung für Schäden oder Sicherheitsverstöße durch bereitgestellte identische Anmeldedaten.

Passwörter

Wenn sich ein Benutzer bei Jamf Connect anmeldet, wird das Passwort in ein sicheres Textfeld eingegeben und niemals außerhalb des macOS Schlüsselbunds auf einen Datenträger geschrieben.

Bei Verwendung von Kerberos wird das Passwort mit dem API-Aufruf gss_aapl_initial_cred() verarbeitet, durch den der Benutzer authentifiziert wird und ein Ticket Granting Ticket (TGT) abgerufen wird. Auch beim Ändern des Passworts mithilfe des API-Aufrufs gss_aapl_change_password() kommt dieses Verfahren zum Einsatz. Für beide API-Aufrufe wird die von Apple bereitgestellte Kerberos Implementierung „Heimdal“ verwendet.

Hinweis:

Alle Kerberos Aktionen werden über APIs von Apple ausgeführt. Das Password wird niemals mit kinit oder einem anderen Tool für die Kerberos Befehlszeile zwischengespeichert.

Bei Verwendung von Okta als Identitätsdienst wird von Jamf Connect die Okta Authentifizierungs-API verwendet. Weitere Informationen zur Okta API für die Authentifizierung finden Sie unter Authentication API in der Okta Dokumentation für Entwickler.

Bei Integration in andere Identitätsdienste wird von Jamf Connect das OpenID Connect Authentifizierungsprotokoll für die Kommunikation mit dem Identitätsdienst verwendet.

Hinweis:

Alle Netzwerkverbindungen werden über die in macOS integrierte URLSession API zum Laden von URLs hergestellt. Die gesamte Kommunikation wird mittels TLS verschlüsselt, um die sichere Übertragung der Daten zu gewährleisten.

Wenn die Passthrough-Authentifizierung für das Anmeldefenster aktiviert ist, werden die im Anmeldefenster der Webansicht eingegebenen Benutzerpasswörter vorübergehend im Speicher abgelegt und zum Anmelden oder Erstellen eines lokalen Accounts auf Computern verwendet. Wenn Jamf Connect mit dem Passwort des Benutzers fertig ist, wird der Wert sofort mit nil überschrieben und aus dem Speicher entfernt.

Weitere Informationen zu OpenID Connect finden Sie in den FAQ der OpenID Foundation.

Verwendung des Schlüsselbunds

Sofern konfiguriert, wird das Benutzerpasswort von Jamf Connect mithilfe von SecKeychainAddGenericPassword() und weiteren SecKeychain API-Aufrufen im lokalen Schlüsselbund des Benutzers gespeichert. Das Passwort wird im Standard-Schlüsselbund des Benutzers abgelegt.

Wenn das Passwort im Schlüsselbund des Benutzers gespeichert wurde und Kerberos aktiviert ist, wird dieses Passwort von Jamf Connect beim Start verwendet. Wenn der Benutzer mit diesem Passwort nicht authentifiziert werden kann, wird das Passwort von Jamf Connect aus dem Schlüsselbund entfernt, um zu verhindern, dass der Benutzer vom Computer ausgesperrt wird. Anschließend wird der Benutzer aufgefordert, die Eingabe mit einem gültigen Passwort zu wiederholen.

Sicherheit im Zusammenhang mit Active Directory

Für Jamf Connect müssen keine Änderungen an den Sicherheitseinstellungen von Active Directory vorgenommen werden. Die Kommunikation zwischen Jamf Connect und Active Directory erfolgt ausschließlich mittels SASL-Bindungen. Der LDAP-Verkehr mit Active Directory wird standardmäßig unter Verwendung des Kerberos Tickets des Benutzers verschlüsselt. Jamf Connect kann so konfiguriert werden, dass für LDAP-Verbindungen mit Active Directory zusätzlich SSL verwendet wird.

Zertifikate

Von Jamf Connect werden keine Benutzergeheimnisse an andere Dienste übermittelt. Der private Schlüssel, mit dem Ihre Zertifikatsignieranforderung (Certificate Signing Request, CSR) erstellt wird, bleibt immer Schlüsselbund. Der gesamte Vorgang findet innerhalb von Jamf Connect mithilfe der von Apple bereitgestellten API-Aufrufe SecKeychain und SecCertificate statt.

Hinweis:

Private Schlüssel sind standardmäßig als nicht exportierbar gekennzeichnet. Diese Einstellung kann jedoch mithilfe eines Einstellungsschlüssels angepasst werden.

Zertifikatsignieranforderungen an eine Windows Zertifizierungsstelle werden nach der Authentifizierung mit Kerberos via SSL gesendet. Der signierte öffentliche Schlüssel wird von Kerberos SSL-verschlüsselt abgerufen. Anschließend wird er mit dem privaten Schlüssel im Schlüsselbund abgeglichen.

Netzwerkverbindungen

Jamf Connect sucht nicht nach eingehenden Verbindungen. Die gesamte Kommunikation von Jamf Connect erfolgt über ausgehende Verbindungen, die bestmöglich abgesichert werden.

Benutzerbereich

Beachten Sie Folgendes:

  • Jamf Connect wird im Benutzerbereich und nicht auf root-Ebene ausgeführt. Deshalb verfügt Jamf Connect ausschließlich über die Berechtigungen, die dem aktuell angemeldeten Benutzer zugewiesen sind.

  • Jamf Connect's Funktionen sind dieselben für lokale Administratoren und standardmäßige macOS Benutzer.