Integration mit Okta
Da Okta Benutzer von Jamf Connect unter Verwendung der Okta Authentifizierungs-API direkt bei Ihrer Domäne authentifiziert werden, sind zum Aktivieren von Authentifizierung und Passwortsynchronisation keine weiteren Schritte in der Okta Administrationskonsole erforderlich. Die OpenID Connect App-Integrationen sind erforderlich, um Folgendes zu tun:
- Lokale Rollenzuweisung konfigurieren—
Sie können in Jamf Connect festlegen, ob Benutzer mit lokalen Standardaccounts oder mit lokalen Administratoraccounts erstellt werden sollen, indem Sie unterschiedliche App-Integrationen in Okta für Standardbenutzer und Administratoren erstellen. Anschließend können Sie Benutzer in Okta den einzelnen Apps zuweisen, sodass Jamf Connect die App-Zuweisungen der Benutzer verwendet, um den entsprechenden lokalen Accounttyp zu erstellen.
- Jamf Unlock bereitstellen—Die Jamf Unlock App verwendet ausschließlich das OpenID Connect Authentifizierungsprotokoll, um Benutzer während des Kopplungsprozesses zu authentifizieren.
Wenn Sie festlegen möchten, ob Jamf Connect lokale Benutzeraccounts als Standardaccounts oder als Administratoraccounts anlegen soll, können Sie in Okta eine App für Standardbenutzer und eine weitere App für Administratoren integrieren und dann die Benutzer den jeweiligen Apps zuweisen. Jamf Connect verwendet dann die App, der ein Benutzer zugewiesen ist, um den lokalen Account des richtigen Typs zu erstellen.
- Melden Sie sich bei der Administratorkonsole von Okta an.
- Klicken Sie auf Applications (Anwendungen).
- Klicken Sie auf Add Application (Anwendung hinzufügen) und anschließend auf Create New App (Neue App erstellen).
- Führen Sie im Fenster „Create a New Application Integration (Neue Anwendung integrieren)“ folgende Schritte aus:
- Wählen Sie im Einblendmenü Platform (Plattform) die Option aus.
- Auswählen Verbinden.
- Klicken Sie auf Create (Erstellen).
- (Optional) Führen Sie auf der Seite „Create OpenID Connect Integration (In OpenID Connect integrieren)“ folgende Schritte aus:
-
Die Client-IDs der einzelnen App-Integrationen. Diese Werte werden verwendet, um die entsprechenden Client-ID für Zugriff, Client-ID für Administrator und Sekundäre Client-ID für Anmeldung Einstellungen zu konfigurieren.
-
Der Weiterleitungs-URI. Dieser Wert wird verwendet, um die Einstellung Weiterleitungs-URI zu konfigurieren.
Anpassen von Erteilungstypen
Sie müssen die zugelassenen Erteilungstypen für jede in Okta erstellte Jamf Connect App-Integration anpassen.
- Wählen Sie Ihre zuvor erstellte Jamf Connect App aus.
- Nehmen Sie im Bereich „General (Allgemein)“ folgende Einstellungen vor:
- Wählen Sie in „Allowed Grant Type (Zulässiger Erteilungstyp)“ die Option Implicit (Hybrid) (Implizit [Hybrid]) aus.
- Wählen Sie die Optionen Allow ID Token with implicit grant type (ID-Token mit implizitem Erteilungstyp zulassen) und Allow Access Token with implicit grant type (Zugriffstoken implizitem Erteilungstyp zulassen).
- Klicken Sie auf Speichern.
Wiederholen Sie diesen Vorgang für die App-Integration für Jamf Connect.
Aktivieren von Multi-Faktor-Authentifizierung
Wenn Sie für Benutzer die Multi-Faktor-Authentifizierung (MFA) aktivieren möchten, müssen Sie die MFA auf Organisationsebene statt auf App-Ebene aktivieren. Navigieren Sie zum Aktivieren der MFA auf dem Administrator-Dashboard von Okta zu
und erstellen Sie dann eine neue Anmelderichtlinie.Haftungsausschluss:
In Jamf Connect kann es unter Umständen dazu kommen, dass Benutzer mit demselben Benutzernamen und Passwort beim falschen lokalen Account angemeldet werden. Damit sichergestellt wird, dass Benutzer beim jeweils richtigen Account angemeldet werden, sollte deshalb eine Multi-Faktor-Authentifizierung (MFA) erfolgen. Jamf übernimmt keine Verantwortung oder Haftung für Schäden oder Sicherheitsverstöße durch bereitgestellte identische Anmeldedaten
Die Aktivierung der MFA auf App-Ebene wird nicht empfohlen und kann zu Fehlern in Jamf Connect führen.