Anmeldefenster-Einstellungen - Jamf Connect Leitfaden für Administratoren

Anmeldefenster-Authentifizierungseinstellungen

Domäne—com.jamf.connect.login
Beschreibung—
Mit diesen Schlüsseln wird Jamf Connect das Durchführen der Authentifizierung zwischen Ihrem Identitätsdienst und lokalen Accounts bei Anmeldung am Anmeldefenster erlaubt. Die erforderlichen Einstellungen unterscheiden sich je nach Identitätsdienst.


Schlüssel	Beschreibung
`OIDCProvider`	Identitätsdienst Legt den von Ihnen verwendeten cloudbasierten Identitätsdienst fest. Die folgenden Werte werden unterstützt: `Azure` `IBMCI` `GoogleID` `OneLogin` `Okta` `PingFederate` `Custom` `<key>OIDCProvider</key> <string>Azure</string>`
`AuthServer`	Authentifizierungsserver (Nur Okta) URL der Okta Domäne Ihrer Organisation. `<key>AuthServer</key> <string>ihrunternehmen.okta.com</string>`
`OIDCClientID`	Client-ID Die für die Authentifizierung des Benutzers bei Ihrem Identitätsdienst verwendete Client-ID der Jamf Connect App. `<key>OIDCClientID</key> <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>`
`OIDCRedirectURI`	Weiterleitungs-URI Die Weiterleitungs-URI, die von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird. Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige URI festgelegt werden. Der in Ihrem Identitätsdienst festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen. `<key>OIDCRedirectURI</key> <string>https://127.0.0.1/jamfconnect</string>`
`OIDCClientSecret`	Client-Geheimnis Das von Jamf Connect Login und Ihrem Identitätsdienst verwendete Client-Geheimnis. `<key>OIDCClientSecret</key> <string>hier-Client-Geheimnis-einfügen</string>`
`OIDCTenant`	Mandanten-ID Gibt die Mandanten-ID Ihrer Organisation an, die für die Authentifizierung verwendet wird. `<key>OIDCTenant</key> <string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>`
`OIDCDiscoveryURL`	Ermittlungs-URL Das OpenID Metadaten-Dokument des Identitätsdienstes, in dem Ihre Konfigurationsdaten für OpenID gespeichert sind. Dieser Wert wird in folgendem Format angegeben: „https://domaene.url.de/.bekannte/openid-konfiguration“ Hinweis: Dieser Schlüssel ist erforderlich, wenn Ihr Identitätsdienst (`OIDCProvider`) auf `Custom` oder `PingFederate` festgelegt ist `<key>OIDCDiscoveryURL</key> <string>https://identitätsdienst-beispiel-adresse.com/.bekannte/openid-konfiguration</string>`
`LicenseFile`	Lizenzdatei Der Inhalt einer im Base64-Datenformat codierten Jamf Connect Lizenz-Datei. `<key>LicenseFile</key> <string>codierter-Lizenzinhalt</string>`

Einstellungen für das anfängliche Passwort

Domäne—com.jamf.connect.login
Beschreibung—
Diese Einstellungen werden benutzt, um zu bestimmen, wie Jamf Connect während der Accounterstellung ein lokales Passwort erstellt, und ob bei jedem Anmelden das lokale Passwort und das Netzwerkpasswort eines Benutzers geprüft und synchron gehalten werden sollen.


Schlüssel	Beschreibung
`OIDCNewPassword`	Separates lokales Passwort erstellen Wenn dieser Schlüssel auf „true“ festgelegt ist, wird der Benutzer aufgefordert, für seinen neuen lokalen Account ein neues Passwort zu erstellen. Ist der Schlüssel auf „false“ festgelegt, wird der Benutzer aufgefordert, sein Netzwerkpasswort erneut einzugeben. Dieses wird dann als Passwort für den lokalen Account übernommen. So ist sichergestellt, dass das Netzwerkpasswort und das lokale Passwort des Benutzers beim Erstellen des Benutzers synchronisiert werden. Hinweis: Diese Einstellung ist standardmäßig aktiviert. `<key>OIDCNewPassword</key> <true/>`
`OIDCROPGID`	Client-ID (Passwortverifizierung) Die Client-ID der bei Ihrem Identitätsdienst registrierten App, die für die Authentifizierung des Benutzerpassworts über einen Authentifizierungsfluss zur Gewährung des Ressourcenbesitzer-Passworts (ROPG) verwendet wird. Dieser Wert stimmt üblicherweise mit dem Einstellungsschlüssel `OIDCClientID` überein. `<key>OIDCROPGID</key> <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>`
`CreateJamfConnectPassword`	Jamf Connect Schlüsselbund erstellen Erstellt bei der Accounterstellung automatisch ein Schlüsselbundobjekt für Jamf Connect. Dies ermöglicht es der Jamf Connect Menüleisten-App, beim ersten Öffnen der App das Anmeldefenster mit Benutzeranmeldedaten auszufüllen. Hinweis: Um diese Einstellung zu verwenden, muss die Einstellung Separates lokales Passwort erstellen (`OIDCNewPassword`) auf „false“ festgelegt sein. `<key>CreateJamfConnectPassword</key> <true/>`
`ROPGSuccessCodes`	Erfolgscodes für Passwortverifizierung Ein Array von Zeichenfolgen mit Fehlercodes aus Ihrem Identitätsdienst, die von Jamf Connect während der Verifizierung eines Passworts mittels Ressourcenbesitzer-Passwortgewährung (ROPG) als „erfolgreich“ interpretiert werden müssen. Infos zu möglichen Fehlercodes, die Sie möglicherweise in Ihrer Umgebung konfigurieren müssen, finden Sie in der Dokumentation Fehlercodes für die Azure AD-Authentifizierung und -Autorisierung von Microsoft. Wenn Sie in Ihrer Umgebung OneLogin zusammen mit der Multi-Faktor-Authentifizierung verwenden, muss für diesen Schlüssel „MFA“ angegeben werden. `<key>ROPGSuccessCodes</key> <array> <string>AADSTS50012</string> <string>AADSTS50131</string> </array>`

Einstellungen zur Verwaltung der lokalen Authentifizierung und der Netzwerkauthentifizierung

Domäne—com.jamf.connect.login
Beschreibung—
Zum Festlegungen von Einschränkungen in Bezug auf die lokale Authentifizierung und die Netzwerkauthentifizierung


Schlüssel	Beschreibung
`DenyLocal`	Netzwerkauthentifizierung erforderlich Legt fest, ob ein Benutzer die Netzwerkauthentifizierung auslassen und lokale Accountdaten verwenden kann. Mit der Einstellung „true“ ist die Taste Local Login (Lokale Anmeldung) nicht verfügbar und der Benutzer muss sich beim Netzwerk authentifizieren. Mit der Einstellung „false“ ist die Taste Local Login (Lokale Anmeldung) verfügbar und der Benutzer kann sich wahlweise lokal authentifizieren. `<key>DenyLocal</key> <false/>`
`DenyLocalExcluded`	Benutzer mit Berechtigung zur lokalen Authentifizierung Legt fest, welche Benutzer sich auch dann lokal authentifizieren können, wenn der Schlüssel `DenyLocal` auf „true“ gesetzt ist. `<key>DenyLocalExcluded</key> <array> <string>Benutzer-Eins</string> <string>Benutzer-Zwei</string> <string>Benutzer-Drei</string> <string>Benutzer-Vier</string> </array>`
`LocalFallback`	Ausweichen auf lokale Authentifizierung möglich Dieser Schlüssel wird zusammen mit dem Schlüssel `DenyLocal` verwendet, um zunächst die Authentifizierung beim Identitätsdienst zu erzwingen, jedoch im Fehlerfall, wenn keine Netzwerkverbindung verfügbar ist, auf eine lokale Authentifizierung auszuweichen. `<key>LocalFallback</key> <false/>`
`OIDCDefaultLocal`	Benutzer standardmäßig lokal authentifizieren Bei der Einstellung „true“ wird von Jamf Connect standardmäßig eine lokale Authentifizierung statt einer Netzwerkauthentifizierung durchgeführt. So ist sichergestellt, dass Benutzer sich auch ohne Netzwerkverbindung immer anmelden können. `<key>OIDCDefaultLocal</key> <false/>`

Einstellungen für die Accountmigration

Domäne—com.jamf.connect.login
Beschreibung—
Zum Konfigurieren von Account-Verknüpfungen zwischen bestehenden lokalen Accounts und Netzwerkaccounts.


Schlüssel	Beschreibung
`Migrate`	Vorhandene lokale Accounts mit Netzwerkaccount verknüpfen Erlaubt das Verknüpfen lokaler Accounts mit einem Netzwerkaccount. Diese Einstellung wird normalerweise dann verwendet, wenn der bestehende lokale Account eines Benutzers denselben Benutzernamen und dasselbe Passwort erhalten soll wie der Netzwerkaccount des Benutzers. Wenn diese Option aktiviert ist, muss der Benutzer sich bei seinem Identitätsdienst anmelden. Anschließend wird von Jamf Connect nach einem zugehörigen lokalen Account gesucht. Hinweis: Um diese Einstellung zu verwenden, muss Netzwerkauthentifizierung erforderlich (`DenyLocal`) aktiviert sein. Weitere Informationen finden Sie unter Einschränkungen für Netzwerkauthentifizierung und lokale Authentifizierung. Bei jeder erfolgreichen Netzwerkauthentifizierung wird der Benutzerdatensatz mit dem Attribut „NetworkSignIn“ aktualisiert. Wenn der Benutzer nur die lokale Authentifizierung nutzt, wird dieses Attribut nicht aktualisiert. `<key>Migrate</key> <false/>`
`MigrateUsersHide`	Von Verknüpfung mit Netzwerkaccount ausgeschlossene lokale Accounts Eine Liste der Benutzernamen von lokalen Accounts, die vom Migrationsvorgang ausgeschlossen werden. Diese Accounts stehen dem Benutzer beim Anmeldevorgang nicht zum Verknüpfen zur Verfügung. `<key>MigrateUsersHide</key> <array> <string>admin</string> <string>ladmin</string> </array>`
`DemobilizeUsers`	Accounts demobilisieren Legt fest, ob auf vorhandene Active Directory Mobilgeräteaccounts der „DeMobilize“-Mechanismus angewendet wird, wodurch ein Mobilgeräteaccount in einen lokalen Account umgewandelt wird. Mit dem „DeMobilize“-Mechanismus wird auch die Netzwerkauthentifizierungsstelle aus dem Account entfernt. Nach einem solchen Demobilisierung können Sie die Bindung der Computer an Active Directory aufheben. Wichtig: Wenn Sie die Anbindung an Active Directory vor der Ausführung des „DeMobilize“-Mechanismus aufheben, kann diese fehlschlagen, wenn das Aktive Directory Passwort eines Benutzers nicht mit dem für den Identitätsdienst übereinstimmt und Jamf Connect so konfiguriert ist, dass die Passwörter bei der Accounterstellung synchronisiert werden. Stellen Sie sicher, dass Sie den „DeMobilize“-Mechanismus ausführen, bevor Sie die Anbindung eines Accounts an Active Directory aufheben, und dass die Active Directory Domäne während der Accounterstellung mit Jamf Connect erreichbar ist. Eine entsprechende Anleitung finden Sie im Artikel Demobilizing and Unbinding Mobile Accounts with Jamf Connect and Jamf Pro (Anwenden des „DeMobilize“-Mechanismus und Aufheben der Anbindung von Mobilgeräteaccounts an Jamf Connect und Jamf Pro) in der Informationsdatenbank. `<key>DemobilizeUsers</key> <false/>`

Einstellungen für angepasstes Branding im Anmeldefenster

Domäne—com.jamf.connect.login
Beschreibung—
Zum Anpassen des Jamf Connect Anmeldefensters für Ihre Organisation


Schlüssel	Beschreibung
`BackgroundImage`	Hintergrundbild Pfad zu einer lokal gespeicherten Bilddatei, die als Hintergrund für das Anmeldefenster verwendet wird. Diese Bilddatei muss an einem Ort gespeichert werden, der im Anmeldefenster gelesen werden kann. `<key>BackgroundImage</key> <string>/usr/local/shared/background.jpg</string>`
`LoginLogo`	Anmelde-Logo Pfad zu einer lokal gespeicherten Bilddatei, die als Logo bei der Passwortvalidierung oder der Erstellung eines lokalen Passworts verwendet wird. Hinweis: Es wird ein Bild mit einer Größe von 250 x 250 Pixeln empfohlen. Der Dateipfad darf keine umgekehrten Schrägstriche („\“) enthalten. Die Bilddatei und ihr Dateipfad müssen ein Set an Berechtigungen erhalten, das vom Anmeldefenster aus gelesen werden kann, `444` beispielsweise . `<key>LoginLogo</key> <string>/usr/local/images/logo.png</string>`
`LoginWindowMessage`	Nachricht im Anmeldefenster Eine benutzerdefinierte Nachricht, die unten mittig im Anmeldefenster angezeigt wird. `<key>LoginWindowMessage</key> <string>Melden Sie sich mit dem Benutzernamen und Passwort für Ihr Unternehmen an.</string>`

Einstellungen für Benutzerhilfe im Anmeldefenster

Domäne—com.jamf.connect.login
Beschreibung—
Hiermit kann Benutzern die Möglichkeit gegeben werden, Zugriff auf Hilferessourcen zu erhalten, sich im Anmeldefenster mit einem WLAN zu verbinden und die Ein/Aus-Steuertasten zu verwenden.


Schlüssel	Beschreibung
`AllowNetworkSelection`	Netzwerkauswahl erlauben Wenn dieser Einstellungsschlüssel auf „true“ gesetzt ist, kann der Benutzer die Einstellungen für die Netzwerkverbindung im Anmeldefenster konfigurieren und bestätigen. Auf diese Funktion können Benutzer zugreifen, indem sie oben rechts im Anmeldefenster auf das WLAN-Symbol klicken. Hinweis: Um die Sicherheit der Computer zu gewährleisten, kann der Benutzer im Anmeldefenster kein offenes WLAN-Netzwerk auswählen. `<key>AllowNetworkSelection</key> <false/>`
`HelpURL`	Hilfe-URL Geben Sie eine URL an, die im Anmeldefenster angezeigt wird und über die der Benutzer zu unterstützenden Ressourcen für die Einarbeitung oder die Registrierung zugreifen kann. `<key>HelpURL</key> <string>ihrunternehmen.hilfe.com</string>`
`HelpURLLogo`	Hilfe-Symbol Benutzerdefiniertes Bild, das als Hilfesymbol benutzt werden soll. Hinweis: Um diese Funktion zu aktivieren, muss der Schlüssel `HelpURL` benutzt werden. `<key>HelpURLLogo</key> <string>/usr/local/shared/helplogo.png</string>`
`LocalHelpFile`	Ausweich-Hilfe-Datei Pfad zu einer lokalen Datei, wie etwa einer Hilfedatei zum Beheben von Netzwerkproblemen oder einer Anleitung zum Onboarding, auf die der Benutzer durch Klicken auf das Hilfesymbol im Jamf Connect Anmeldefenster zugreifen kann. Diese Datei wird nur angezeigt, wenn vom Computer keine Verbindung zum Internet hergestellt oder die in dem Schlüssel `HelpURL` aufgeführte URL nicht aufgerufen werden kann. Hinweis: Es werden unter anderem die Dateitypen PDF und HTML unterstützt. `<key>LocalHelpFile</key> <string>/usr/local/shared/JamfConnectHilfe.pdf</string>`
`OIDCHideShutdown`	Taste „Ausschalten“ ausblenden Die Taste „Ausschalten“ im Benutzeranmeldefenster ausblenden `<key>OIDCHideShutdown</key> <false/>`
`OIDCHideRestart`	Taste „Neu starten“ ausblenden Die Taste „Neu starten“ im Benutzeranmeldefenster ausblenden `<key>OIDCHideRestart</key> <false/>`

Einstellungen für Azure AD mit Hybrididentität

Domäne—com.jamf.connect.login
Beschreibung—
Zur Konfiguration von Authentifizierung und Passwortsynchronisation für Umgebungen mit Azure AD Hybrididentität.


Schlüssel	Beschreibung
`ROPGProvider`	Identitätsdienst (Hybrid-ID) Gibt an, wohin Jamf Connect versuchen soll, Passwörter zu synchronisieren. Die folgenden Werte werden unterstützt: `Custom` `Azure_v2` `<key>ROPGProvider</key>  <string>Azure_v2</string>`
`ROPGTenant`	Mandanten-ID (Hybrid-ID) Die Mandanten-ID, die in Ihrer Organisation für die Passwortverifizierung benutzt wird. `<key>ROPGTenant</key>  <string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>`
`ROPGDiscoveryURL`	Ermittlungs-URL (Hybrid-ID) Gibt den Endpunkt für die Ermittlung per OpenID Connect an. Wenn Sie ADFS verwenden, müssen Sie als Wert Ihre ADFS Domäne sowie Folgendes angeben: „/adfs/.bekannte/openid-konfiguration“ Hinweis: Dieser Schlüssel muss konfiguriert werden, wenn für den Schlüssel ROPGProvider der Wert „Custom“ festgelegt wird. `<key>ROPGDiscoveryURL</key> <string>https://adfs.jamfconnect.com/adfs/bekannte/openid-konfiguration</string>`
`ROPGRedirectURI`	Weiterleitungs-URI (Hybrid-ID) Die Weiterleitungs-URI, die von der erstellten Anwendung für ADFS oder Azure AD verwendet wird. Standardmäßig wird `https://127.0.0.1/jamfconnect` empfohlen, es kann jedoch eine beliebige gültige URI festgelegt werden. Der in Azure AD oder ADFS festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen. `<key>ROPGRedirectURI</key> <string>https://127.0.0.1/jamfconnect</string>`
`ROPGClientSecret`	Client-Geheimnis (Hybrid-ID) Das Client-Geheimnis Ihrer Jamf Connect Anwendung. Beachten Sie beim Konfigurieren eines Client-Geheimnisses Folgendes: Wenn Sie für die ROPG-Authentifizierung und die Autorisierungsgewährung bei Azure AD dasselbe Client-Geheimnis verwenden, konfigurieren Sie diesen Schlüssel nicht. Das mit dem Schlüssel `OIDCClientSecret` festgelegte Geheimnis wird von Jamf Connect Login sowohl für die Authentifizierung als auch die Passwortverifizierung verwendet. Wenn Sie für eine ROPG-Authentifizierung kein Client-Geheimnis verwenden, legen Sie als Wert „NONE“ fest. Wenn Sie für beide Authentifizierungsvorgänge jeweils ein anderes Client-Geheimnis verwenden, müssen Sie sowohl den Schlüssel `OIDCClientSecret` als auch den Schlüssel `ROPGClientSecret` mit entsprechenden Werten konfigurieren. `<key>ROPGClientSecret</key>  <string>Ihr-Client-Geheimnis</string>`

Allgemeine Einstellungen für die Benutzerrolle

Domäne—com.jamf.connect.login
Beschreibung—
Benutzerrollen-Einstellung, die von jedem Cloud-Identitätsdienst benutzt werden kann.


Schlüssel	Beschreibung
`CreateAdminUser`	Administratorbenutzer erstellen Alle Benutzer werden als lokale Administratoren erstellt. Hinweis: Durch diesen Schlüssel erhalten nur neu erstellte Benutzer lokale Administratorberechtigungen. Er hat keinen Einfluss auf den Status bereits erstellter lokaler Accounts. Wenn Sie bei Ihrem Identitätsdienst Benutzerrollen festgelegt und mit dem Einstellungsschlüssel Administratorrollen (`OIDCAdmin`) konfiguriert haben, werden lokale Benutzeraccounts möglicherweise bei der nächsten Anmeldung geändert. `<key>CreateAdminUser</key> <false/>`

Einstellungen für die Benutzerrolle bei OpenID Connect Authentifizierung

Domäne—com.jamf.connect.login
Beschreibung—
Zum Konfigurieren der Benutzerrollen basierend auf ID-Tokens bei OpenID Connect Authentifizierung


Schlüssel	Beschreibung
`OIDCAdminAttribute`	Administratorattribut Gibt an, anhand von welchem in einem ID-Token gespeicherten Attribut bestimmt wird, ob für einen Benutzer ein normaler lokaler Account oder ein lokaler Administratoraccount erstellt werden soll. Standardmäßig benutzt Jamf Connect das Attribut „Gruppen“ und sucht darin nach den in der Einstellung Administratorrollen (`OIDCAdmin`) angegebenen Werten. Hinweis: Wenn Sie Azure AD verwenden, stellen Sie diesen Wert auf `roles` ein. Wenn Sie Google Identity verwenden, können die Benutzerrollen nicht anhand eines ID-Tokens definiert werden. `<key>OIDCAdminAttribute</key> <string>Gruppen</string>`
`OIDCAdmin`	Administratorrollen Gibt an, welche in Ihrem Identitätsdienst konfigurierten Benutzerrollen (oder Gruppen) während der Accounterstellung zu lokalen Administratoren werden. Sie können eine oder mehrere Rollen als Array von Zeichenfolgen angeben. Jamf Connect sucht nach diesen Werten standardmäßig im Attribut „Gruppen“ des ID-Tokens, sofern in der Einstellung Administratorattribut (`OIDCAdminAttribute`) nichts anderes konfiguriert ist. Hinweis: Wenn Sie Google Identity verwenden, können die Benutzerrollen nicht anhand eines ID-Tokens definiert werden. `<key>OIDCAdmin</key> <array> <string>Rolle-eins</string> <string>Rolle-zwei</string> <string>Rolle-drei</string> <string>Rolle-vier</string> </array>`
`OIDCIgnoreAdmin`	Rollen ignorieren Mit der Einstellung „true“ werden von Jamf Connect Login alle Rollen ignoriert, die im Identitätsdienst möglicherweise festgelegt sind. Durch die Verwendung dieses Schlüssels wird sichergestellt, dass der einem lokalen Benutzeraccount aktuell zugewiesene Status („Administrator“ oder „Standard“) nicht geändert wird. Mit der Einstellung „false“ oder „unspecified“ wird von Jamf Connect Login zum Konfigurieren von Rollen der Schlüssel `OIDCAdmin` verwendet und der Status des lokalen Benutzeraccounts wird ausgehend von eventuell im Identitätsdienst festgelegten Rollen geändert. `<key>OIDCIgnoreAdmin</key> <false/>`

Einstellungen für die Benutzerrolle bei Verwendung von Okta

Domäne—
com.jamf.connect.login
Beschreibung—
(Nur Okta) Zur Konfiguration der Benutzerrollen für neue lokale Accounts.


Schlüssel	Beschreibung
`OIDCAccessClientID`	Client-ID für Zugriff OIDC-Anwendung, die für Benutzer benutzt wird, die Accounts erstellen oder sich bei Benutzern anmelden dürfen. Hinweis: Alle Benutzer, auch Benutzer mit der Rolle „Administrator“, müssen dieser App in Ihrer Okta Administratorkonsole hinzugefügt werden, um auf Jamf Connect Login zugreifen zu können. `<key>OIDCAccessClientID</key> <string>0oad0gmia54gn3y8923h1</string>`
`OIDCAdminClientID`	Client-ID für Administrator OIDC-Anwendung, die für Benutzer benutzt wird, die während der Accounterstellung als lokale Administratoren erstellt werden. Hinweis: Dieser App sollten in Ihrer Okta Administratorkonsole nur Administratoren hinzugefügt werden. `<key>OIDCAdminClientID</key> <string>0oa0gwese54gn3y9O0h4</string>`
`OIDCSecondaryLoginClientID`	Sekundäre Client-ID für Anmeldung OIDC-Anwendung, die für Benutzer benutzt wird, die weitere Benutzer auf Computern erstellen dürfen, nachdem der erste Account erstellt ist. `<key>OIDCSecondaryLoginClientID</key> <string>0oa0grdsrhdsre54gn3y9O0h4</string>`
`OIDCRedirectURI`	Weiterleitungs-URI Die Weiterleitungs-URI, die von der Jamf Connect App in Okta wird. Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige URI festgelegt werden. Der in Okta festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen. `<key>OIDCRedirectURI</key> <string>https://127.0.0.1/jamfconnect</string>`

Einstellungen für die Multi-Faktor-Authentifizierung mit Okta

Domäne—
com.jamf.connect.login
Beschreibung—
(Nur Okta) Zur Anpassung von MFA-Optionen und Text.

Schlüssel	Beschreibung
`MessageOTPEntry`	Meldung für Einmalpasswort (Nur bei Okta) Text, der angezeigt wird, wenn ein Benutzer bei der Multi-Faktor-Authentifizierung (MFA) ein Einmalpasswort (OTP) eingeben muss. `<key>MessageOTPEntry</key> <string>Geben Sie Ihren Verifizierungscode ein.</string>`
`MFARename`	MFA-Optionsnamen (Nur Okta) Benutzerdefinierte Namen für die einzelnen MFA-Optionen, die in Ihrer Organisation mit der Okta Authentifizierung benutzt werden. Weitere Informationen über die Arten von MFA-Optionen, die Sie mit Jamf Connect und Okta konfigurieren können, finden Sie unter Mehrfaktorauthentifizierung. <key>MFARename</key>   <dict>  <key>push</key>  <string>Okta Verify App: Push-Mitteilung</string>  <key>question</key>  <string>Okta Sicherheitsfragen</string>  <key>web</key> <string>Duo Mobile App</string> <key>sms</key>  <string>Okta SMS: Verifizierungscode</string>  <key>google:token:software:totp</key>   <string>Google Authenticator App: Verifizierungscode</string>  <key>okta:token:software:totp</key>  <string>Okta Verifiy App: Verifizierungscode</string>  <key>token:hardware</key>   <string>USB-Sicherheitsschlüssel</string>  </dict>
`MFAExcluded`	Ausgeblendete MFA-Optionen (Nur Okta) Liste mit MFA-Optionen, die den Benutzern nicht angezeigt werden sollen. `<key>MFAExcluded</key>  <array>  <string>push</string>  <string>frage</string>  <string>okta:token:software:totp</string <string>google:token:software:totp</string> <string>token:hardware</string>  <string>webauthn</string> <string>web</string> </array>`

Schlüssel

Beschreibung

MessageOTPEntry

Meldung für Einmalpasswort

(Nur bei Okta) Text, der angezeigt wird, wenn ein Benutzer bei der Multi-Faktor-Authentifizierung (MFA) ein Einmalpasswort (OTP) eingeben muss.

<key>MessageOTPEntry</key>
<string>Geben Sie Ihren Verifizierungscode ein.</string>

MFARename

MFA-Optionsnamen

(Nur Okta) Benutzerdefinierte Namen für die einzelnen MFA-Optionen, die in Ihrer Organisation mit der Okta Authentifizierung benutzt werden. Weitere Informationen über die Arten von MFA-Optionen, die Sie mit Jamf Connect und Okta konfigurieren können, finden Sie unter Mehrfaktorauthentifizierung.

<key>MFARename</key>
    <dict> 
	<key>push</key>
	 <string>Okta Verify App: Push-Mitteilung</string>
	 <key>question</key> 
	<string>Okta Sicherheitsfragen</string> 
	<key>web</key> <string>Duo Mobile App</string> <key>sms</key> 
	<string>Okta SMS: Verifizierungscode</string> 
	<key>google:token:software:totp</key>
 	<string>Google Authenticator App: Verifizierungscode</string> 
	<key>okta:token:software:totp</key> 
	<string>Okta Verifiy App: Verifizierungscode</string> 
	<key>token:hardware</key>
 	<string>USB-Sicherheitsschlüssel</string> 
   </dict>

MFAExcluded

Ausgeblendete MFA-Optionen

(Nur Okta) Liste mit MFA-Optionen, die den Benutzern nicht angezeigt werden sollen.

<key>MFAExcluded</key> 
   <array> 
	<string>push</string> 
	<string>frage</string> 
	<string>okta:token:software:totp</string
	<string>google:token:software:totp</string>	
	<string>token:hardware</string> 
	<string>webauthn</string>
	<string>web</string>
   </array>

Erweiterte Authentifizierungseinstellungen beim Anmelden

Domäne—com.jamf.connect.login
Beschreibung—
Dient dazu, erweiterte Authentifizierungseinstellungen zu konfigurieren und benutzerdefinierte Ansprüche in einem ID-Token zu verwenden.


Schlüssel	Beschreibung
`OIDCAuthServer`	Benutzerdefinierter Server für die Authentifizierung mit Okta (Nur Okta) Gibt einen benutzerdefinierten Autorisierungsserver für Ihren Okta Mandanten an, der bei der Erstellung des lokalen Accounts zum Senden benutzerdefinierter Anwendungsbereiche und Ansprüche im ID-Token (gespeichert über den Schlüssel `OIDCIDTokenPath`) eines Benutzers verwendet werden kann. Um diesen Wert festzulegen, verwenden Sie die ID des benutzerdefinierten Autorisierungsservers, die als Zeichenfolge am Ende der Aussteller-URI Ihres benutzerdefinierten Autorisierungsservers zu finden ist. In der Aussteller-URI unter `aus9o8wzkhckw9TLa0h7z` steht die Autorisierungsserver-ID. Beispiel: `https://ihr-benutzerdefinierter-authentifizierungsserver.okta.com/oauth2/abc8o8wzjhckw` Um diese Einstellung zu verwenden, müssen Sie eine Okta-App-Integration zur Definition von Benutzerrollen für die Einstellung (`OIDCAccessClientID`) erstellen. Hinweis: Diese Einstellung sollte nur verwendet werden, wenn Ihr Okta Mandant einen eigenen Autorisierungsserver hat, mit dem OpenID Connect Apps und ID-Token-Attribute verwaltet werden. Wird diese Einstellung mit denselben Werten konfiguriert wie der primäre Mandant, der mit der Einstellung Authentifizierungsserver (`Auth Server`) verwendet wird, kann es bei der Authentifizierung bei Okta zu unerwarteten Fehlern kommen. `<key>OIDCAuthServer</key> <string>abc8o8wzjhckw9TLa0t8q</string>` Weitere Informationen zum Erstellen eines benutzerdefinierten Autorisierungsservers finden Sie in der Dokumentation Okta Authorization Server auf der Okta Developer Website.
`OIDCIgnoreCookies`	Cookies ignorieren Sorgt dafür, dass von der loginwindow Anwendung gespeicherte Cookies ignoriert werden. `<key>OIDCIgnoreCookies</key> <false/>`
`OIDCScopes`	Anwendungsbereiche für OpenID Connect Hiermit werden benutzerdefinierte Anwendungsbereiche festgelegt, mit denen bei der Autorisierung zusätzliche Ansprüche im ID-Token eines Benutzers angegeben werden. Zu den standardmäßigen Anwendungsbereichen gehören `openid`, `profile` und `offline_access`. Wenn Sie mehrere Bereiche hinzufügen, trennen Sie diese mit dem „+“ -Symbol. `<key>OIDCScopes</key> <string>openid+profil</string>`
`OIDCShortName`	Kurzname Hiermit wird angegeben, welcher Anspruch aus dem ID-Token des Benutzers als Kurzname des Accounts verwendet werden soll. Der Kurzname wird dem lokalen Account des Benutzers als Aliasname hinzugefügt. Hinweis: Wenn der Anspruch, den Sie verwenden möchten, nicht im Standard-ID-Token enthalten ist, können Sie zusätzliche Ansprüche über ein ID-Token beziehen, indem Sie mit dem Einstellungsschlüssel `OIDCScopes` zusätzliche Ansprüche angeben. `<key>OIDCShortName</key> <string>angegebener_Name</string>`
`OIDCIDTokenPath`	Pfad für formatiertes ID-Token Hiermit wird der Dateipfad angegeben, unter dem das formatierte ID-Token eines Benutzers gespeichert werden kann. Hinweis: Dieser Schlüssel erfordert, dass der „RunScript“-Mechanismus aktiviert ist. Weitere Informationen finden Sie unter Hinzufügen eines Anmeldeskripts. `<key>OIDCIDTokenPath</key> <string>/tmp/token</string>`
`OIDCIDTokenPathRaw`	Pfad für das ID-Token in Rohdatenform Hiermit wird der Dateipfad angegeben, der zum Speichern des ID-Tokens eines Benutzers in Rohdatenform verwendet wird. Hinweis: Dieser Schlüssel erfordert, dass der „RunScript“-Mechanismus aktiviert ist. Weitere Informationen finden Sie unter Hinzufügen eines Anmeldeskripts. `<key>OIDCIDTokenPathRaw</key> <string>/tmp/token-raw</string>`
`UseUserInfo`	(Nur PingFederate) Die Einstellung „true“, ermöglicht es Jamf Connect, weitere Ansprüche von einem PingFederate Token anzufordern. Diese Einstellung sollte nur verwendet werden, wenn Sie intern verwaltete Referenztoken von PingFederate ausgeben. Weitere Informationen zur Verwaltung von PingFederate finden Sie im Abschnitt OAuth Configuration (OAuth Konfiguration) im PingFederate Administrator's Manual (PingFederate Administratorhandbuch). `<key>UseUserInfo</key> <false/>`

Einstellungen für FileVault

Domäne—
com.jamf.connect.login
Beschreibung—
Zum Konfigurieren der Aktivierung von FileVault mit Jamf Connect.


Schlüssel	Beschreibung
`EnableFDE`	FileVault aktivieren Bei der Einstellung „true“ wird FileVault für den ersten Benutzer aktiviert, der sich an einem Computer anmeldet. `<key>EnableFDE</key> <false/>`
`EnableFDERecoveryKey`	FileVault Wiederherstellungsschlüssel speichern Bei der Einstellung „true“ speichert Jamf Connect den persönlichen Wiederherstellungsschlüssel (PRK) unter `/var/db/NoMADFDE`, sofern kein anderer Speicherort angegeben ist. `<key>EnableFDERecoveryKey</key> <false/>`
`EnableFDERecoveryKeyPath`	Dateipfad für Wiederherstellungsschlüssel festlegen Gibt einen benutzerdefinierten Dateipfad für den persönlichen Wiederherstellungsschlüssel an, der anstelle der Standardeinstellung /`var/db/NoMADFDE` benutzt werden soll. `<key>EnableFDERecoveryKeyPath</key> <string>/usr/local/filevault</string>`
`LAPSUser`	LAPS-Benutzer Ein bestehender lokaler Administratoraccount, dessen Passwort von Jamf Connect in den persönlichen Wiederherstellungsschlüssel geändert werden kann. Diese Einstellung wird von Jamf Connect nur verwendet, um FileVault für Standardaccounts auf macOS 10.15.x zu aktivieren. Diese Einstellung sollte auf Computern mit macOS ab Version 11.0.1 nicht verwendet werden. `<key>LAPSUser</key> <string>AdminBenutzer</string>`

Einstellungen für Nutzungsbedingungen

Domäne—
com.jamf.connect.login
Beschreibung—
Zum Konfigurieren von Nutzungsbindungen, die Benutzern im Jamf Connect Anmeldefenster angezeigt werden.


Schlüssel	Beschreibung
`EULAFilePath`	Dokument mit den Nutzungsbedingungen Gibt den Pfad zur Datei mit den Nutzungsbedingungen an, denen Benutzer zustimmen müssen, bevor sie sich anmelden können. Diese Dateiformate werden unterstützt: PDF TXT RTF RTFD `<key>EULAFilePath</key> <string>/usr/local/shared/NutzungsbedingungenBeispiel.pdf</string>`
`EULAPath`	Pfad der Audit-Datei Gibt den Dateipfad zu einem Verzeichnis an, in dem ein Protokoll über die Zustimmung des Benutzers zu den Nutzungsbedingungen gespeichert wird. `<key>EULAPath</key> <string>/usr/local/shared</string>`
`EULAText`	Text der Nutzungsbedingungen Der eigentliche Textinhalt der Nutzungsbedingungen. Hinweis: Zum Formatieren des Textinhalts können Sie `*` in diesem Zeichenfolgenwert eingeben, um eine neue Zeile zu beginnen. `<key>EULAText</key> <string>Beispiel-Text.*Neue Zeile im Beispiel-Text.</string>`
`EULATitle`	Titel der Nutzungsbedingungen Ein Titel für die Nutzungsbedingungen `<key>EULATitle</key> <string>Nutzungsbedingungen</string>`
`EULASubTitle`	Untertitel der Nutzungsbedingungen Ein Untertitel für die Nutzungsbedingungen `<key>EULASubTitle</key <string>Sie müssen den Nutzungsbedingungen zustimmen, ehe Sie Ihren Mac verwenden können.</string>`

Einstellungen für Anmeldeskripte

Domäne—com.jamf.connect.login
Beschreibung—
Zum Ausführen von Skripten während des Anmeldevorgangs.

Hinweis:
Sie müssen den „RunScript“-Mechanismus zunächst aktivieren, bevor Sie die zugehörigen Skripteinstellungen konfigurieren können.


Schlüssel	Beschreibung
`ScriptArgs`	Skriptargumente Die Argumente, die mit einem bestimmten Skript verwendet werden sollen, das mithilfe des Mechanismus „RunScript“ ausgeführt wird. Hinweis: Der Schlüssel `ScriptPath` muss angegeben werden. `<key>ScriptArgs</key> <array> <string>-v</string> <string>-user</string> </array>`
`ScriptPath`	Skriptpfad Gibt den Pfad zu einem Skript oder zu einer anderen ausführbaren Datei an, die mit dem Mechanismus „RunScript“ ausgeführt werden soll. Sie können mit Jamf Connect Login immer nur ein Skript gleichzeitig verwenden. `<key>ScriptPath</key> <string>/usr/local/bin/loginScript</string>`
`NotifyLogStyle`	Jamf Pro Richtlinienprotokolle als Statusaktualisierungen im „Notify“-Bildschirm anzeigen Wenn der „Notify“-Bildschirm von Jamf Connect konfiguriert ist, werden Richtlinienprotokolle von Jamf Pro während der automatischen Geräteregistrierung (früher DEP) als Statusaktualisierungen für Benutzer angezeigt. Um diese Einstellung zu aktivieren, setzen Sie diesen Wert auf `jamf`. `<key>NotifyLogStyle</key> <string>Jamf</string>`
`UIDTool`	Verwenden eines benutzerdefinierten UID-Tools Gibt den Pfad zu einem UID-Tool an, mit dem Sie bei der Kontoerstellung als UID eines lokalen Benutzerkontos einen benutzerdefinierten Wert festlegen können. Dieser kann dazu verwendet werden, die UID des lokalen Benutzers mit dem zugehörigen LDAP-UID-Attribut zu verknüpfen. Bei Ihrem UID-Tool muss es sich um ein ausführbares Skript handeln. Ihr UID-Tool muss für die Verarbeitung von Kurznamen für Accounts konfiguriert sein und die UID des betreffenden Benutzeraccounts zurückgeben. `<key>UIDTool</key> <string>/Benutzer/Geteilt/UIDTool</string>`

Einstellungen für das Pluggable Authentication Module (PAM)

Domäne—com.jamf.connect.login
Beschreibung—
Hiermit kann auf Computern die Authentifizierung mit dem PAM aktiviert werden.


Schlüssel	Beschreibung
`AuthUIOIDCProvider`	Identitätsdienst (PAM) Der Identitätsdienst, der bei der Authentifizierung mit dem Pluggable Authentication Module (PAM) verwendet werden soll. `<key>AuthUIOIDCProvider</key> <string>Identitätsdienst-einfügen</string>`
`AuthUIOIDCClientID`	Client-ID (PAM) Die Client-ID der bei Ihrem Identitätsdienst erstellten Jamf Connect App, die für die Authentifizierung des Benutzers über das PAM verwendet wird. `<key>AuthUIOIDCClientID</key> <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>`
`AuthUIOIDCRedirectURI`	Weiterleitungs-URI (PAM) Die Weiterleitungs-URI, die von der bei Ihrem Identitätsdienst erstellten Jamf Connect App verwendet wird. `<key>AuthUIOIDCRedirectURI</key> <string>https://127.0.0.1/jamfconnect</string>`
`AuthUIOIDCTenant`	Mandanten-ID (PAM) Die Mandantenkennung bei Ihrem Identitätsdienst, die für die Authentifizierung über das PAM verwendet wird. Hinweis: Wenn Sie als Identitätsdienst Okta verwenden, muss dieser Schlüssel angegeben werden. `<key>AuthUIOIDCTenant</key> <string>dev-123456</string>`
`AuthUIOIDCClientSecret`	Client-Geheimnis (PAM) Das Client-Geheimnis, das von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird. Dieser Wert ist nur Jamf Connect und Ihrem Identitätsdienst bekannt. `<key>AuthUIOIDCClientSecret</key> <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>`