Authentifizierungseinstellungen

Sie müssen mithilfe eines Computer-Konfigurationsprofils Authentifizierungseinstellungen konfigurieren und implementieren. Diese Einstellungen ermöglichen Jamf Connect die Authentifizierung am Anmeldefenster und in der Menüleisten-App und das Herstellen einer Verbindung zwischen lokalen Benutzeraccounts auf dem Mac und einem cloudbasierten Identitätsdienst.

Beachten Sie folgende Punkte, wenn Sie die Authentifizierungseinstellungen mit Jamf Connect konfigurieren:

  • Die Authentifizierungseinstellungen für die Jamf Connect Menüleisten-App sind in der Schlüsselverzeichnisklasse IdPSettings enthalten.

  • Wenn Sie in Ihrer Umgebung sowohl die Menüleiste als auch das Anmeldefenster benutzen, wird empfohlen, Jamf Connect so zu konfigurieren, dass das anfängliche Passwort unter Verwendung des Netzwerkaccounts des Benutzers erstellt wird. Auf diese Weise kann sichergestellt werden, dass Benutzer nicht direkt nach der Accounterstellung zur Passwortänderung aufgefordert werden. Weitere Informationen finden Sie unter Anfängliches Erstellen eines lokalen Passworts.

  • Die mindestens erforderlichen Authentifizierungseinstellungen sind vom cloudbasierten Identitätsdienst und der Umgebung abhängig.

Mindestens erforderliche Authentifizierungseinstellungen der jeweiligen Identitätsdienste

Im Folgenden werden die mindestens erforderlichen Authentifizierungseinstellungen für die Verwendung von Jamf Connect mit den unterstützten Identitätsdiensten aufgeführt.

Identitätsdienst

Anmeldefenster

Menüleisten-App

Azure AD

  • Identitätsdienst
  • Client-ID
  • Identitätsdienst
  • Client-ID

Google Cloud ID

  • Identitätsdienst
  • Client-ID
  • Client-Geheimnis

Nicht unterstützt

IBM Security Verify

  • Identitätsdienst
  • Client-ID
  • Mandanten-ID
  • Identitätsdienst
  • Client-ID
  • Mandanten-ID

Okta

  • Identitätsdienst
  • Authentifizierungsserver
  • Identitätsdienst
  • Authentifizierungsserver

OneLogin

  • Identitätsdienst
  • Client-ID
  • Mandanten-ID
  • Erfolgscodes (wenn MFA aktiviert ist)
  • Identitätsdienst
  • Client-ID
  • Mandanten-ID
  • Erfolgscodes (wenn MFA aktiviert ist)

PingFederate

  • Identitätsdienst
  • Client-ID
  • Ermittlungs-URL
  • Identitätsdienst
  • Client-ID
  • Ermittlungs-URL

Benutzerdefiniert

  • Identitätsdienst
  • Client-ID
  • Weiterleitungs-URI
  • Ermittlungs-URL
  • Identitätsdienst
  • Client-ID
  • Ermittlungs-URL

Ermittlungs-URL-Endpunkte für die OpenID Connect Authentifizierung

Jamf Connect verwendet während des OpenID Connect Authentifizierungsvorgangs den Ermittlungs-Endpunkt Ihres Cloud-Identitätsdiensts. Abhängig von Ihrem Identitätsdienst und den Konfigurationsprofileinstellungen verwendet Jamf Connect die folgende Sequenz, um einen Ermittlungs-URL-Endpunktwert zu finden:

  1. Ein Ermittlungs-URL-Wert in einem Jamf Connect Konfigurationsprofil. Bei entsprechender Konfiguration überschreibt dieser Wert Jamf Connect’s vorkonfigurierte Ermittlungs-URL-Werte für Ihren Identitätsdienst. Diese Option ist für PingFederate und benutzerdefinierte Identitätsdienstoptionen erforderlich.

  2. Automatisches Generieren einer Ermittlungs-URL unter Verwendung eines Mandanten-ID-Werts in einem Jamf Connect Konfigurationsprofil. Diese Option ist für IBM Security Verify und OneLogin erforderlich.

  3. Automatische Verwendung einer vorab in Jamf Connect konfigurierten standardmäßigen Ermittlungs-URL. Diese Option wird von Azure AD und Google Cloud ID verwendet.

Gehen Sie wie folgt vor, um sicherzustellen, dass bei der Authentifizierung mit Jamf Connect keine ungültige Ermittlungs-URL verwendet wird:

  • Wenn Sie einen anderen Identitätsdienst als PingFederate oder eine benutzerdefinierte Option verwenden, stellen Sie sicher, dass die Schlüsselwertpaare der Ermittlungs-URL entweder nicht konfiguriert sind oder mit dem von Ihrem Identitätsdienst dokumentiertem Ermittlungsendpunkt übereinstimmen.

  • Wenn Sie Jamf Connect mit Azure AD in einer Umgebung mit ADFS-Hybrididentität verwenden, stellen Sie sicher, dass Ermittlungs-URL (OIDCDiscoveryURL) nicht konfiguriert ist, und dass Ermittlungs-URL (Hybrid-ID) (ROPGDiscoveryURL) Ihren ADFS-Ermittlungsendpunkt verwendet.

Identitätsdienst-Ermittlungsendpunkt

In der folgenden Tabelle werden die URLs aufgelistet, die auf Computern in Ihrer Umgebung auf die Positivliste gesetzt werden sollten, damit die Jamf Connect Authentifizierung erfolgreich ist:
Azure AD (Microsoft Identity Platform)
https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration
Hinweis:

Wenn Sie eine Mandanten-ID konfiguriert haben, ersetzen Sie „common“ in der obigen URL durch Ihren OIDCTenant-Wert.

Azure AD
https://login.microsoftonline.com/common/.well-known/openid-configuration
Hinweis:

Wenn Sie eine Mandanten-ID konfiguriert haben, ersetzen Sie „common“ in der obigen URL durch Ihren OIDCTenant-Wert.

Google Cloud ID

https://accounts.google.com/.well-known/openid-configuration

IBM Security Verify

https://yourtenant.ice.ibmcloud.com/oidc/endpoint/default/.well-known/openid-configuration

Okta (OpenID Connect Authentifizierung)

https://yourtenant.okta.com/.well-known/openid-configuration

OneLogin

https://yourtenant.onelogin.com/oidc/2/.well-known/openid-configuration