Integration mit Okta

Da Okta Benutzer von Jamf Connect unter Verwendung der Okta Authentifizierungs-API direkt bei Ihrer Domäne authentifiziert werden, sind zum Aktivieren von Authentifizierung und Passwortsynchronisation keine weiteren Schritte in der Okta Administrationskonsole erforderlich. Die OpenID Connect App-Integrationen sind erforderlich, um Folgendes zu tun:

  • Lokale Rollenzuweisung konfigurieren

    Sie können in Jamf Connect festlegen, ob Benutzer mit lokalen Standardaccounts oder mit lokalen Administratoraccounts erstellt werden sollen, indem Sie unterschiedliche App-Integrationen in Okta für Standardbenutzer und Administratoren erstellen. Anschließend können Sie Benutzer in Okta den einzelnen Apps zuweisen, sodass Jamf Connect die App-Zuweisungen der Benutzer verwendet, um den entsprechenden lokalen Accounttyp zu erstellen.

  • Jamf Unlock bereitstellenDie Jamf Unlock App verwendet ausschließlich das OpenID Connect Authentifizierungsprotokoll, um Benutzer während des Kopplungsprozesses zu authentifizieren.

Wenn Sie festlegen möchten, ob Jamf Connect lokale Benutzeraccounts als Standardaccounts oder als Administratoraccounts anlegen soll, können Sie in Okta eine App für Standardbenutzer und eine weitere App für Administratoren integrieren und dann die Benutzer den jeweiligen Apps zuweisen. Jamf Connect verwendet dann die App, der ein Benutzer zugewiesen ist, um den lokalen Account des richtigen Typs zu erstellen.

  1. Melden Sie sich bei der Administratorkonsole von Okta an.
  2. Klicken Sie auf Applications (Anwendungen).
  3. Klicken Sie auf Add Application (Anwendung hinzufügen) und anschließend auf Create New App (Neue App erstellen).
  4. Führen Sie im Fenster „Create a New Application Integration (Neue Anwendung integrieren)“ folgende Schritte aus:
    1. Wählen Sie im Einblendmenü Platform (Plattform) die Option Native App aus.
    2. Auswählen Verbinden.
    3. Klicken Sie auf Create (Erstellen).
  5. (Optional) Führen Sie auf der Seite „Create OpenID Connect Integration (In OpenID Connect integrieren)“ folgende Schritte aus:
    1. Geben Sie im Feld Application name (Anwendungsname) einen Namen für Ihre App ein, z. B. Jamf Connect.
    2. Laden Sie ein Logo für Ihr Programm hoch.
    3. Je nachdem, ob Sie eine App für Rollenzuweisung konfigurieren oder eine gültige URI, geben Sie eine der folgenden URIs im Feld Login redirect URIs (Weiterleitungs-URIs für Anmeldung) ein.
      • Rollenzuweisung (macOS)https://127.0.0.1/jamfconnect
      • Jamf Unlock Authentifizierung (iOS)jamfunlock://callback/auth
    4. Klicken Sie auf Speichern.
Ihre App-Integration kann jetzt für die Erstellung von Benutzerrollen mit Jamf Connect oder zur Authentifizierung in der Jamf Unlock App verwendet werden.
Um zu bestimmen, ob Benutzer mit lokalen Administratoraccounts oder Standardaccounts mit Jamf Connect erstellt werden, wiederholen Sie den Vorgang und weisen Sie den entsprechenden Okta App-Integrationen Administrator- bzw. Standardaccounts zu.
Hinweis: Administratoraccounts müssen beiden App-Integrationen zugewiesen werden.
Vergewissern Sie sich, dass Sie die folgenden Werte in Ihr Jamf Connect Anmeldefenster-Konfigurationsprofil kopieren:
  • Die Client-IDs der einzelnen App-Integrationen. Diese Werte werden verwendet, um die entsprechenden Client-ID für Zugriff, Client-ID für Administrator und Sekundäre Client-ID für Anmeldung Einstellungen zu konfigurieren.

  • Der Weiterleitungs-URI. Dieser Wert wird verwendet, um die Einstellung Weiterleitungs-URI zu konfigurieren.

Anpassen von Erteilungstypen

Sie müssen die zugelassenen Erteilungstypen für jede in Okta erstellte Jamf Connect App-Integration anpassen.

  1. Wählen Sie Ihre zuvor erstellte Jamf Connect App aus.
  2. Nehmen Sie im Bereich „General (Allgemein)“ folgende Einstellungen vor:
    1. Wählen Sie in „Allowed Grant Type (Zulässiger Erteilungstyp)“ die Option Implicit (Hybrid) (Implizit [Hybrid]) aus.
    2. Wählen Sie die Optionen Allow ID Token with implicit grant type (ID-Token mit implizitem Erteilungstyp zulassen) und Allow Access Token with implicit grant type (Zugriffstoken implizitem Erteilungstyp zulassen).
    3. Klicken Sie auf Speichern.

Wiederholen Sie diesen Vorgang für die App-Integration für Jamf Connect.

Aktivieren von Multi-Faktor-Authentifizierung

Wenn Sie für Benutzer die Multi-Faktor-Authentifizierung (MFA) aktivieren möchten, müssen Sie die MFA auf Organisationsebene statt auf App-Ebene aktivieren. Navigieren Sie zum Aktivieren der MFA auf dem Administrator-Dashboard von Okta zu Security (Sicherheit) > Authentication (Authentifizieren) > Sign On (Anmelden) und erstellen Sie dann eine neue Anmelderichtlinie.

Haftungsausschluss:

In Jamf Connect kann es unter Umständen dazu kommen, dass Benutzer mit demselben Benutzernamen und Passwort beim falschen lokalen Account angemeldet werden. Damit sichergestellt wird, dass Benutzer beim jeweils richtigen Account angemeldet werden, sollte deshalb eine Multi-Faktor-Authentifizierung (MFA) erfolgen. Jamf übernimmt keine Verantwortung oder Haftung für Schäden oder Sicherheitsverstöße durch bereitgestellte identische Anmeldedaten

Hinweis:

Die Aktivierung der MFA auf App-Ebene wird nicht empfohlen und kann zu Fehlern in Jamf Connect führen.