Anmeldefenster-Einstellungen

Diese Referenz enthält alle verfügbaren Einstellungen für das Jamf Connect Anmeldefenster.

Anmeldefenster-Authentifizierungseinstellungen

  • Domänecom.jamf.connect.login
  • Beschreibung

    Mit diesen Schlüsseln wird Jamf Connect das Durchführen der Authentifizierung zwischen Ihrem Identitätsdienst und lokalen Accounts bei Anmeldung am Anmeldefenster erlaubt. Die erforderlichen Einstellungen unterscheiden sich je nach Identitätsdienst.

Schlüssel

Beschreibung

OIDCProvider

Identitätsdienst

Legt den von Ihnen verwendeten cloudbasierten Identitätsdienst fest. Die folgenden Werte werden unterstützt:

  • Azure
  • IBMCI
  • GoogleID
  • OneLogin
  • Okta
  • PingFederate
  • Custom
<key>OIDCProvider</key>
<string>Azure</string>

AuthServer

Authentifizierungsserver

(Nur Okta) URL der Okta Domäne Ihrer Organisation.

<key>AuthServer</key>
<string>ihrunternehmen.okta.com</string>

OIDCClientID

Client-ID

Die für die Authentifizierung des Benutzers bei Ihrem Identitätsdienst verwendete Client-ID der Jamf Connect App.

<key>OIDCClientID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCRedirectURI

Weiterleitungs-URI

Die Weiterleitungs-URI, die von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird.

Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige URI festgelegt werden. Der in Ihrem Identitätsdienst festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen.

<key>OIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

OIDCClientSecret

Client-Geheimnis

Das von Jamf Connect Login und Ihrem Identitätsdienst verwendete Client-Geheimnis.

<key>OIDCClientSecret</key>
<string>hier-Client-Geheimnis-einfügen</string>

OIDCTenant

Mandanten-ID

Gibt die Mandanten-ID Ihrer Organisation an, die für die Authentifizierung verwendet wird.

<key>OIDCTenant</key>
<string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>

OIDCDiscoveryURL

Ermittlungs-URL

Das OpenID Metadaten-Dokument des Identitätsdienstes, in dem Ihre Konfigurationsdaten für OpenID gespeichert sind. Dieser Wert wird in folgendem Format angegeben: „https://domaene.url.de/.bekannte/openid-konfiguration“

Hinweis:

Dieser Schlüssel ist erforderlich, wenn Ihr Identitätsdienst (OIDCProvider) auf Custom oder PingFederate festgelegt ist

<key>OIDCDiscoveryURL</key>
<string>https://identitätsdienst-beispiel-adresse.com/.bekannte/openid-konfiguration</string>
OIDCUsePassthroughAuth

Passthrough-Authentifizierung verwenden

(Nur Azure AD und Google) Senden Sie das Netzwerkpasswort eines Benutzers, das im Anmeldefenster der Webansicht eingegeben wurde, für die lokale Authentifizierung sicher an Jamf Connect. Dies ermöglicht es Jamf Connect, die Netzwerk- und lokale Authentifizierung abzuschließen, ohne Benutzer aufzufordern, ihr Passwort erneut einzugeben. Beim Erstellen eines lokalen Accounts stellt dies sicher, dass das Netzwerkpasswort automatisch als neues lokales Passwort verwendet wird. Diese Einstellung ist standardmäßig auf false festgelegt.

Verwenden Sie Azure AD, muss der Schlüssel OIDCNewPassword auf false gesetzt werden.

<key>OIDCUsePassthroughAuth</key>
<false/>
Weitere Informationen finden Sie unter Passthrough-Authentifizierung mit Jamf Connect.

LicenseFile

Lizenzdatei

Der Inhalt einer im Base64-Datenformat codierten Jamf Connect Lizenz-Datei. Lizenzdateien sind verfügbar via Jamf Account.

<key>LicenseFile</key>
<string>codierter-Lizenzinhalt</string>

Einstellungen für das anfängliche Passwort

  • Domänecom.jamf.connect.login
  • Beschreibung

    Diese Einstellungen werden benutzt, um zu bestimmen, wie Jamf Connect während der Accounterstellung ein lokales Passwort erstellt, und ob bei jedem Anmelden das lokale Passwort und das Netzwerkpasswort eines Benutzers geprüft und synchron gehalten werden sollen.

Schlüssel

Beschreibung

OIDCNewPassword

 

Separates lokales Passwort erstellen

Wenn dieser Schlüssel auf „true“ festgelegt ist, wird der Benutzer aufgefordert, für seinen neuen lokalen Account ein neues Passwort zu erstellen.

Ist der Schlüssel auf „false“ festgelegt, wird der Benutzer aufgefordert, sein Netzwerkpasswort erneut einzugeben. Dieses wird dann als Passwort für den lokalen Account übernommen. So ist sichergestellt, dass das Netzwerkpasswort und das lokale Passwort des Benutzers beim Erstellen des Benutzers synchronisiert werden.

Hinweis:

Diese Einstellung ist standardmäßig aktiviert.

<key>OIDCNewPassword</key>
<true/>

OIDCROPGID

Client-ID (Passwortverifizierung)

Die Client-ID der bei Ihrem Identitätsdienst registrierten App, die für die Authentifizierung des Benutzerpassworts über einen Authentifizierungsfluss zur Gewährung des Ressourcenbesitzer-Passworts (ROPG) verwendet wird. Dieser Wert stimmt üblicherweise mit dem Einstellungsschlüssel OIDCClientID überein.

<key>OIDCROPGID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

CreateJamfConnectPassword

Jamf Connect Schlüsselbund erstellen

Erstellt bei der Accounterstellung automatisch ein Schlüsselbundobjekt für Jamf Connect. Dies ermöglicht es der Jamf Connect Menüleisten-App, beim ersten Öffnen der App das Anmeldefenster mit Benutzeranmeldedaten auszufüllen.

Hinweis:

Um diese Einstellung zu verwenden, muss die Einstellung Separates lokales Passwort erstellen (OIDCNewPassword) auf „false“ festgelegt sein.

<key>CreateJamfConnectPassword</key>
<true/>

ROPGSuccessCodes

Erfolgscodes für Passwortverifizierung

Ein Array von Zeichenfolgen mit Fehlercodes aus Ihrem Identitätsdienst, die von Jamf Connect während der Verifizierung eines Passworts mittels Ressourcenbesitzer-Passwortgewährung (ROPG) als „erfolgreich“ interpretiert werden müssen.

Infos zu möglichen Fehlercodes, die Sie möglicherweise in Ihrer Umgebung konfigurieren müssen, finden Sie in der Dokumentation Fehlercodes für die Azure AD-Authentifizierung und -Autorisierung von Microsoft.

Wenn Sie in Ihrer Umgebung OneLogin zusammen mit der Multi-Faktor-Authentifizierung verwenden, muss für diesen Schlüssel „MFA“ angegeben werden.

<key>ROPGSuccessCodes</key>
<array>
<string>AADSTS50012</string>
<string>AADSTS50131</string>
</array>

Einstellungen zur Verwaltung der lokalen Authentifizierung und der Netzwerkauthentifizierung

  • Domänecom.jamf.connect.login
  • Beschreibung

    Zum Festlegungen von Einschränkungen in Bezug auf die lokale Authentifizierung und die Netzwerkauthentifizierung

Schlüssel

Beschreibung

DenyLocal

Netzwerkauthentifizierung erforderlich

Legt fest, ob ein Benutzer die Netzwerkauthentifizierung auslassen und lokale Accountdaten verwenden kann.

Mit der Einstellung true ist die Taste Lokale Anmeldung nicht verfügbar und der Benutzer muss sich beim Netzwerk authentifizieren.

Mit der Einstellung false ist die Taste Lokale Anmeldung verfügbar und der Benutzer kann sich wahlweise lokal authentifizieren.

Diese Einstellung kann auch verwendet werden, um sicherzustellen, dass die Netzwerkauthentifizierung auf Computern mit FileVault Aktivierung beim Start nicht übersprungen wird. Weitere Informationen finden Sie unter Deaktivieren der automatischen Anmeldung mit FileVault.

<key>DenyLocal</key>
<false/>

DenyLocalExcluded

Benutzer mit Berechtigung zur lokalen Authentifizierung

Legt fest, welche Benutzer sich auch dann lokal authentifizieren können, wenn der Schlüssel DenyLocal auf „true“ gesetzt ist.

<key>DenyLocalExcluded</key>
<array>
<string>Benutzer-Eins</string>
<string>Benutzer-Zwei</string>
<string>Benutzer-Drei</string>
<string>Benutzer-Vier</string>
</array>

LocalFallback

Ausweichen auf lokale Authentifizierung möglich

Dieser Schlüssel wird zusammen mit dem Schlüssel DenyLocal verwendet, um zunächst die Authentifizierung beim Identitätsdienst zu erzwingen, jedoch im Fehlerfall, wenn keine Netzwerkverbindung verfügbar ist, auf eine lokale Authentifizierung auszuweichen.

<key>LocalFallback</key>
<false/>
OIDCDefaultLocal

Benutzer standardmäßig lokal authentifizieren

Bei der Einstellung „true“ wird von Jamf Connect standardmäßig eine lokale Authentifizierung statt einer Netzwerkauthentifizierung durchgeführt. So ist sichergestellt, dass Benutzer sich auch ohne Netzwerkverbindung immer anmelden können.

<key>OIDCDefaultLocal</key>
<false/>

Einstellungen für die Accountmigration

  • Domänecom.jamf.connect.login
  • Beschreibung

    Zum Konfigurieren von Account-Verknüpfungen zwischen bestehenden lokalen Accounts und Netzwerkaccounts.

Schlüssel

Beschreibung

Migrieren

Vorhandene lokale Accounts mit Netzwerkaccount verknüpfen

Erlaubt das Verknüpfen lokaler Accounts mit einem Netzwerkaccount.

Diese Einstellung wird normalerweise dann verwendet, wenn der bestehende lokale Account eines Benutzers denselben Benutzernamen und dasselbe Passwort erhalten soll wie der Netzwerkaccount des Benutzers.

Wenn diese Option aktiviert ist, muss der Benutzer sich bei seinem Identitätsdienst anmelden. Anschließend wird von Jamf Connect nach einem zugehörigen lokalen Account gesucht.

Hinweis:
  • Um diese Einstellung zu verwenden, muss Netzwerkauthentifizierung erforderlich (DenyLocal) aktiviert sein. Weitere Informationen finden Sie unter Einschränkungen für Netzwerkauthentifizierung und lokale Authentifizierung.
  • Bei jeder erfolgreichen Netzwerkauthentifizierung wird der Benutzerdatensatz mit dem Attribut „NetworkSignIn“ aktualisiert. Wenn der Benutzer nur die lokale Authentifizierung nutzt, wird dieses Attribut nicht aktualisiert.
<key>Migrate</key>
<false/>

MigrateUsersHide

Von Verknüpfung mit Netzwerkaccount ausgeschlossene lokale Accounts

Eine Liste der Benutzernamen von lokalen Accounts, die vom Migrationsvorgang ausgeschlossen werden. Diese Accounts stehen dem Benutzer beim Anmeldevorgang nicht zum Verknüpfen zur Verfügung.

<key>MigrateUsersHide</key>
<array>
<string>admin</string>
<string>ladmin</string>
</array>

DemobilizeUsers

Accounts demobilisieren

Legt fest, ob auf vorhandene Active Directory Mobilgeräteaccounts der „DeMobilize“-Mechanismus angewendet wird, wodurch ein Mobilgeräteaccount in einen lokalen Account umgewandelt wird. Mit dem „DeMobilize“-Mechanismus wird auch die Netzwerkauthentifizierungsstelle aus dem Account entfernt.

Nach einem solchen Demobilisierung können Sie die Bindung der Computer an Active Directory aufheben.

Wichtig:

Wenn Sie die Anbindung an Active Directory vor der Ausführung des „DeMobilize“-Mechanismus aufheben, kann diese fehlschlagen, wenn das Aktive Directory Passwort eines Benutzers nicht mit dem für den Identitätsdienst übereinstimmt und Jamf Connect so konfiguriert ist, dass die Passwörter bei der Accounterstellung synchronisiert werden. Stellen Sie sicher, dass Sie den „DeMobilize“-Mechanismus ausführen, bevor Sie die Anbindung eines Accounts an Active Directory aufheben, und dass die Active Directory Domäne während der Accounterstellung mit Jamf Connect erreichbar ist. Entsprechende Anweisungen finden Sie im Artikel Demobilizing and Unbinding Mobile Accounts with Jamf Connect and Jamf Pro (Anwenden des „DeMobilize“-Mechanismus und Aufheben der Anbindung von Mobilgeräteaccounts an Jamf Connect und Jamf Pro) in der Informationsdatenbank.

<key>DemobilizeUsers</key>
<false/>

Einstellungen für angepasstes Branding im Anmeldefenster

  • Domänecom.jamf.connect.login
  • Beschreibung

    Zum Anpassen des Jamf Connect Anmeldefensters für Ihre Organisation

Schlüssel

Beschreibung

BackgroundImage

Hintergrundbild

Pfad zu einer lokal gespeicherten Bilddatei, die als Hintergrund für das Anmeldefenster verwendet wird. Diese Bilddatei muss an einem Ort gespeichert werden, der im Anmeldefenster gelesen werden kann.

<key>BackgroundImage</key>
<string>/usr/local/shared/background.jpg</string>

LoginLogo

Anmelde-Logo

Pfad zu einer lokal gespeicherten Bilddatei, die als Logo bei der Passwortvalidierung oder der Erstellung eines lokalen Passworts verwendet wird.

Hinweis:
  • Es wird ein Bild mit einer Größe von 250 x 250 Pixeln empfohlen.
  • Der Dateipfad darf keine umgekehrten Schrägstriche („\“) enthalten.
  • Die Bilddatei und ihr Dateipfad müssen ein Set an Berechtigungen erhalten, das vom Anmeldefenster aus gelesen werden kann, 444 beispielsweise .
<key>LoginLogo</key>
<string>/usr/local/images/logo.png</string>

LoginWindowMessage

Nachricht im Anmeldefenster

Eine benutzerdefinierte Nachricht, die unten mittig im Anmeldefenster angezeigt wird.

Hinweis:

Dieser Text wird in einer Zeile angezeigt. Zeilenumbrüche werden nicht unterstützt und Nachrichten, die zu lang sind, werden ggf. nicht wie erwartet angezeigt.

<key>LoginWindowMessage</key>
<string>Melden Sie sich mit dem Benutzernamen und Passwort für Ihr Unternehmen an.</string>

Einstellungen für Benutzerhilfe im Anmeldefenster

  • Domänecom.jamf.connect.login
  • Beschreibung

    Hiermit kann Benutzern die Möglichkeit gegeben werden, Zugriff auf Hilferessourcen zu erhalten, sich im Anmeldefenster mit einem WLAN zu verbinden und die Ein/Aus-Steuertasten zu verwenden.

Schlüssel

Beschreibung

AllowNetworkSelection

Netzwerkauswahl erlauben

Wenn dieser Einstellungsschlüssel auf „true“ gesetzt ist, kann der Benutzer die Einstellungen für die Netzwerkverbindung im Anmeldefenster konfigurieren und bestätigen. Auf diese Funktion können Benutzer zugreifen, indem sie oben rechts im Anmeldefenster auf das WLAN-Symbol klicken.

Hinweis:

Um die Sicherheit der Computer zu gewährleisten, können Benutzer im Jamf Connect Anmeldefenster keine Verbindung zu Netzwerken über Captive Portal herstellen.

<key>AllowNetworkSelection</key>
<false/>

HelpURL

Hilfe-URL

Geben Sie eine URL an, die im Anmeldefenster angezeigt wird und über die der Benutzer zu unterstützenden Ressourcen für die Einarbeitung oder die Registrierung zugreifen kann.

<key>HelpURL</key>
<string>ihrunternehmen.hilfe.com</string>

HelpURLLogo

Hilfe-Symbol

Benutzerdefiniertes Bild, das als Hilfesymbol benutzt werden soll.

Hinweis:

Um diese Funktion zu aktivieren, muss der Schlüssel HelpURL benutzt werden.

<key>HelpURLLogo</key>
<string>/usr/local/shared/helplogo.png</string>

LocalHelpFile

Ausweich-Hilfe-Datei

Pfad zu einer lokalen Datei, wie etwa einer Hilfedatei zum Beheben von Netzwerkproblemen oder einer Anleitung zum Onboarding, auf die der Benutzer durch Klicken auf das Hilfesymbol im Jamf Connect Anmeldefenster zugreifen kann.

Diese Datei wird nur angezeigt, wenn vom Computer keine Verbindung zum Internet hergestellt oder die in dem Schlüssel HelpURL aufgeführte URL nicht aufgerufen werden kann.

Hinweis:

Es werden unter anderem die Dateitypen PDF und HTML unterstützt.

<key>LocalHelpFile</key>
<string>/usr/local/shared/JamfConnectHilfe.pdf</string>

OIDCHideShutdown

Taste „Ausschalten“ ausblenden

Die Taste „Ausschalten“ im Benutzeranmeldefenster ausblenden

<key>OIDCHideShutdown</key>
<false/>

OIDCHideRestart

Taste „Neu starten“ ausblenden

Die Taste „Neu starten“ im Benutzeranmeldefenster ausblenden

<key>OIDCHideRestart</key>
<false/>

Einstellungen für Azure AD mit Hybrididentität

  • Domänecom.jamf.connect.login
  • Beschreibung

    Zur Konfiguration von Authentifizierung und Passwortsynchronisation für Umgebungen mit Azure AD Hybrididentität.

Schlüssel

Beschreibung

ROPGProvider

Identitätsdienst (Hybrid-ID)

Gibt an, wohin Jamf Connect versuchen soll, Passwörter zu synchronisieren. Die folgenden Werte werden unterstützt:

  • Custom
  • Azure_v2
 
<key>ROPGProvider</key>

<string>Azure_v2</string>

ROPGTenant

Mandanten-ID (Hybrid-ID)

Die Mandanten-ID, die in Ihrer Organisation für die Passwortverifizierung benutzt wird.

<key>ROPGTenant</key>

<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>

ROPGDiscoveryURL

Ermittlungs-URL (Hybrid-ID)

Gibt den Endpunkt für die Ermittlung per OpenID Connect an. Wenn Sie ADFS verwenden, müssen Sie als Wert Ihre ADFS Domäne sowie Folgendes angeben: „/adfs/.bekannte/openid-konfiguration“

Hinweis:

Dieser Schlüssel muss konfiguriert werden, wenn für den Schlüssel ROPGProvider der Wert „Custom“ festgelegt wird.

<key>ROPGDiscoveryURL</key>
<string>https://adfs.jamfconnect.com/adfs/bekannte/openid-konfiguration</string>

 

ROPGRedirectURI

Weiterleitungs-URI (Hybrid-ID)

Die Weiterleitungs-URI, die von der erstellten Anwendung für ADFS oder Azure AD verwendet wird.

Standardmäßig wird https://127.0.0.1/jamfconnect empfohlen, es kann jedoch eine beliebige gültige URI festgelegt werden. Der in Azure AD oder ADFS festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen.

<key>ROPGRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

ROPGClientSecret

Client-Geheimnis (Hybrid-ID)

Das Client-Geheimnis Ihrer Jamf Connect Anwendung. Beachten Sie beim Konfigurieren eines Client-Geheimnisses Folgendes:

  • Wenn Sie für die ROPG-Authentifizierung und die Autorisierungsgewährung bei Azure AD dasselbe Client-Geheimnis verwenden, konfigurieren Sie diesen Schlüssel nicht. Das mit dem Schlüssel OIDCClientSecret festgelegte Geheimnis wird von Jamf Connect Login sowohl für die Authentifizierung als auch die Passwortverifizierung verwendet.
  • Wenn Sie für eine ROPG-Authentifizierung kein Client-Geheimnis verwenden, legen Sie als Wert „NONE“ fest.
  • Wenn Sie für beide Authentifizierungsvorgänge jeweils ein anderes Client-Geheimnis verwenden, müssen Sie sowohl den Schlüssel OIDCClientSecret als auch den Schlüssel ROPGClientSecret mit entsprechenden Werten konfigurieren.
<key>ROPGClientSecret</key>

<string>Ihr-Client-Geheimnis</string>

Allgemeine Einstellungen für die Benutzerrolle

  • Domänecom.jamf.connect.login
  • Beschreibung

    Benutzerrollen-Einstellung, die von jedem Cloud-Identitätsdienst benutzt werden kann.

Schlüssel

Beschreibung

CreateAdminUser

Administratorbenutzer erstellen

Alle Benutzer werden als lokale Administratoren erstellt.

Hinweis:

Durch diesen Schlüssel erhalten nur neu erstellte Benutzer lokale Administratorberechtigungen. Er hat keinen Einfluss auf den Status bereits erstellter lokaler Accounts. Wenn Sie bei Ihrem Identitätsdienst Benutzerrollen festgelegt und mit dem Einstellungsschlüssel Administratorrollen (OIDCAdmin) konfiguriert haben, werden lokale Benutzeraccounts möglicherweise bei der nächsten Anmeldung geändert.

<key>CreateAdminUser</key>
<false/>

Einstellungen für die Benutzerrolle bei OpenID Connect Authentifizierung

  • Domänecom.jamf.connect.login
  • Beschreibung

    Zum Konfigurieren der Benutzerrollen basierend auf ID-Tokens bei OpenID Connect Authentifizierung

Schlüssel

Beschreibung

OIDCAdminAttribute

Administratorattribut

Gibt an, anhand von welchem in einem ID-Token gespeicherten Attribut bestimmt wird, ob für einen Benutzer ein normaler lokaler Account oder ein lokaler Administratoraccount erstellt werden soll. Standardmäßig benutzt Jamf Connect das Attribut „Gruppen“ und sucht darin nach den in der Einstellung Administratorrollen (OIDCAdmin) angegebenen Werten.

Hinweis:
  • Wenn Sie Azure AD verwenden, stellen Sie diesen Wert auf roles ein.
  • Wenn Sie Google Identity verwenden, können die Benutzerrollen nicht anhand eines ID-Tokens definiert werden.
<key>OIDCAdminAttribute</key>
<string>Gruppen</string>

OIDCAdmin

Administratorrollen

Gibt an, welche in Ihrem Identitätsdienst konfigurierten Benutzerrollen (oder Gruppen) während der Accounterstellung zu lokalen Administratoren werden. Sie können eine oder mehrere Rollen als Array von Zeichenfolgen angeben. Jamf Connect sucht nach diesen Werten standardmäßig im Attribut „Gruppen“ des ID-Tokens, sofern in der Einstellung Administratorattribut (OIDCAdminAttribute) nichts anderes konfiguriert ist.

Hinweis:

Wenn Sie Google Identity verwenden, können die Benutzerrollen nicht anhand eines ID-Tokens definiert werden.

<key>OIDCAdmin</key>
<array>
<string>Rolle-eins</string>
<string>Rolle-zwei</string>
<string>Rolle-drei</string>
<string>Rolle-vier</string>
</array> 

OIDCIgnoreAdmin

Rollen ignorieren

Mit der Einstellung „true“ werden von Jamf Connect Login alle Rollen ignoriert, die im Identitätsdienst möglicherweise festgelegt sind. Durch die Verwendung dieses Schlüssels wird sichergestellt, dass der einem lokalen Benutzeraccount aktuell zugewiesene Status („Administrator“ oder „Standard“) nicht geändert wird.

Mit der Einstellung „false“ oder „unspecified“ wird von Jamf Connect Login zum Konfigurieren von Rollen der Schlüssel OIDCAdmin verwendet und der Status des lokalen Benutzeraccounts wird ausgehend von eventuell im Identitätsdienst festgelegten Rollen geändert.

<key>OIDCIgnoreAdmin</key>
<false/>

Einstellungen für die Benutzerrolle bei Verwendung von Okta

  • Domäne

    com.jamf.connect.login

  • Beschreibung

    (Nur Okta) Zur Konfiguration der Benutzerrollen für neue lokale Accounts.

Schlüssel

Beschreibung

OIDCAccessClientID

Client-ID für Zugriff

OIDC-Anwendung, die für Benutzer benutzt wird, die Accounts erstellen oder sich bei Benutzern anmelden dürfen.

Hinweis:

Alle Benutzer, auch Benutzer mit der Rolle „Administrator“, müssen dieser App in Ihrer Okta Administratorkonsole hinzugefügt werden, um auf Jamf Connect Login zugreifen zu können.

<key>OIDCAccessClientID</key>
<string>0oad0gmia54gn3y8923h1</string>

 

OIDCAdminClientID

Client-ID für Administrator

OIDC-Anwendung, die für Benutzer benutzt wird, die während der Accounterstellung als lokale Administratoren erstellt werden.

Hinweis:

Dieser App sollten in Ihrer Okta Administratorkonsole nur Administratoren hinzugefügt werden.

<key>OIDCAdminClientID</key>
<string>0oa0gwese54gn3y9O0h4</string>

 

OIDCSecondaryLoginClientID

Sekundäre Client-ID für Anmeldung

OIDC-Anwendung, die für Benutzer benutzt wird, die weitere Benutzer auf Computern erstellen dürfen, nachdem der erste Account erstellt ist.

<key>OIDCSecondaryLoginClientID</key>
<string>0oa0grdsrhdsre54gn3y9O0h4</string>

OIDCRedirectURI

Weiterleitungs-URI

Die Weiterleitungs-URI, die von der Jamf Connect App in Okta wird.

Standardmäßig wird „https://127.0.0.1/jamfconnect“ empfohlen, es kann jedoch eine beliebige URI festgelegt werden. Der in Okta festgelegte Wert muss lediglich mit dem in Ihrem Konfigurationsprofil für Jamf Connect Login übereinstimmen.

<key>OIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

Einstellungen für die Multi-Faktor-Authentifizierung mit Okta

  • Domäne

    com.jamf.connect.login

  • Beschreibung

    (Nur Okta) Zur Anpassung von MFA-Optionen und Text.

Schlüssel

Beschreibung

MessageOTPEntry

Meldung für Einmalpasswort

(Nur bei Okta) Text, der angezeigt wird, wenn ein Benutzer bei der Multi-Faktor-Authentifizierung (MFA) ein Einmalpasswort (OTP) eingeben muss.

<key>MessageOTPEntry</key>
<string>Geben Sie Ihren Verifizierungscode ein.</string>

MFARename

MFA-Optionsnamen

(Nur Okta) Benutzerdefinierte Namen für die einzelnen MFA-Optionen, die in Ihrer Organisation mit der Okta Authentifizierung benutzt werden. Weitere Informationen über die Arten von MFA-Optionen, die Sie mit Jamf Connect und Okta konfigurieren können, finden Sie unter Mehrfaktorauthentifizierung.
<key>MFARename</key>

   <dict>

	<key>push</key>
	
<string>Okta Verify App: Push-Mitteilung</string>
	
<key>question</key>

	<string>Okta Sicherheitsfragen</string>

	<key>web</key>
<string>Duo Mobile App</string>
<key>sms</key>

	<string>Okta SMS: Verifizierungscode</string>

	<key>google:token:software:totp</key>

	<string>Google Authenticator App: Verifizierungscode</string>

	<key>okta:token:software:totp</key>

	<string>Okta Verifiy App: Verifizierungscode</string>

	<key>token:hardware</key>

	<string>USB-Sicherheitsschlüssel</string>

   </dict>

MFAExcluded

Ausgeblendete MFA-Optionen

(Nur Okta) Liste mit MFA-Optionen, die den Benutzern nicht angezeigt werden sollen.
<key>MFAExcluded</key>

   <array>

	<string>push</string>

	<string>question</string>

	<string>okta:token:software:totp</string>
	<string>google:token:software:totp</string>	
	<string>token:hardware</string>

	<string>webauthn</string>
	<string>web</string>
   </array>

Erweiterte Authentifizierungseinstellungen beim Anmelden

  • Domänecom.jamf.connect.login
  • Beschreibung

    Dient dazu, erweiterte Authentifizierungseinstellungen zu konfigurieren und benutzerdefinierte Ansprüche in einem ID-Token zu verwenden.

Schlüssel

Beschreibung

OIDCAuthServer

Benutzerdefinierter Server für die Authentifizierung mit Okta

(Nur Okta) Gibt einen benutzerdefinierten Autorisierungsserver für Ihren Okta Mandanten an, der bei der Erstellung des lokalen Accounts zum Senden benutzerdefinierter Anwendungsbereiche und Ansprüche im ID-Token (gespeichert über den Schlüssel OIDCIDTokenPath) eines Benutzers verwendet werden kann.

Um diesen Wert festzulegen, verwenden Sie die ID des benutzerdefinierten Autorisierungsservers, die als Zeichenfolge am Ende der Aussteller-URI Ihres benutzerdefinierten Autorisierungsservers zu finden ist. In der Aussteller-URI unter aus9o8wzkhckw9TLa0h7z steht die Autorisierungsserver-ID.

Beispiel: https://ihr-benutzerdefinierter-authentifizierungsserver.okta.com/oauth2/abc8o8wzjhckw
Um diese Einstellung zu verwenden, müssen Sie eine Okta-App-Integration zur Definition von Benutzerrollen für die Einstellung (OIDCAccessClientID) erstellen.
Hinweis:

Diese Einstellung sollte nur verwendet werden, wenn Ihr Okta Mandant einen eigenen Autorisierungsserver hat, mit dem OpenID Connect Apps und ID-Token-Attribute verwaltet werden. Wird diese Einstellung mit denselben Werten konfiguriert wie der primäre Mandant, der mit der Einstellung Authentifizierungsserver (Auth Server) verwendet wird, kann es bei der Authentifizierung bei Okta zu unerwarteten Fehlern kommen.

<key>OIDCAuthServer</key>
<string>abc8o8wzjhckw9TLa0t8q</string>

Weitere Informationen zum Erstellen eines benutzerdefinierten Autorisierungsservers finden Sie in der Dokumentation Okta Authorization Server auf der Okta Developer Website.

OIDCIgnoreCookies

Cookies ignorieren

Sorgt dafür, dass von der loginwindow Anwendung gespeicherte Cookies ignoriert werden.

<key>OIDCIgnoreCookies</key>
<false/>

OIDCScopes

Anwendungsbereiche für OpenID Connect

Hiermit werden benutzerdefinierte Anwendungsbereiche festgelegt, mit denen bei der Autorisierung zusätzliche Ansprüche im ID-Token eines Benutzers angegeben werden. Zu den standardmäßigen Anwendungsbereichen gehören openid, profile und offline_access. Wenn Sie mehrere Bereiche hinzufügen, trennen Sie diese mit dem „+“ -Symbol.

<key>OIDCScopes</key>
<string>openid+profil</string>

OIDCShortName

Kurzname

Hiermit wird angegeben, welcher Anspruch aus dem ID-Token des Benutzers als lokaler macOS Accountname (auch bekannt als Kurzname) verwendet werden soll. Der eindeutige Netzwerkname des Benutzers (UPN-Präfix) wird dem lokalen Account des Benutzers als Aliasname hinzugefügt.

Hinweis:

Wenn der Anspruch, den Sie verwenden möchten, nicht im Standard-ID-Token enthalten ist, können Sie zusätzliche Ansprüche über ein ID-Token beziehen, indem Sie mit dem Einstellungsschlüssel OIDCScopes zusätzliche Ansprüche angeben.

<key>OIDCShortName</key>
<string>angegebener_Name</string>

OIDCROPGShortName

ROPG-Kurzname

Legt fest, welcher Anspruch eines ID-Tokens während des Workflows zur ROPG-Authentifizierung (Passwort-Verifizierung) als Benutzername verwendet werden soll.

Hinweis:

Wenn der Anspruch, den Sie verwenden möchten, nicht im Standard-ID-Token enthalten ist, können Sie zusätzliche Ansprüche über ein ID-Token beziehen, indem Sie mit dem Einstellungsschlüssel OIDCScopes zusätzliche Ansprüche angeben.

Diese Einstellung wird nur in komplexen Identitätsdienst-Umgebungen verwendet, in denen der Identitätsdienst die von Jamf Connect während des ROPG-Workflows zur Definition des Benutzernamens verwendeten Ansprüche (z. B. unique_name, preferred_username, email und sub) nicht anerkennt.

<key>OIDCROPGShortName</key>
<string>angegebener_Name</string> 

OIDCIDTokenPath

Pfad für formatiertes ID-Token

Hiermit wird der Dateipfad angegeben, unter dem das formatierte ID-Token eines Benutzers gespeichert werden kann.

Hinweis:

Dieser Schlüssel erfordert, dass der „RunScript“-Mechanismus aktiviert ist. Weitere Informationen finden Sie unter Hinzufügen eines Anmeldeskripts.

<key>OIDCIDTokenPath</key>
<string>/tmp/token</string>

OIDCIDTokenPathRaw

Pfad für das ID-Token in Rohdatenform

Hiermit wird der Dateipfad angegeben, der zum Speichern des ID-Tokens eines Benutzers in Rohdatenform verwendet wird.

Hinweis:

Dieser Schlüssel erfordert, dass der „RunScript“-Mechanismus aktiviert ist. Weitere Informationen finden Sie unter Hinzufügen eines Anmeldeskripts.

<key>OIDCIDTokenPathRaw</key>
<string>/tmp/token-raw</string>

UseUserInfo

(Nur PingFederate) Die Einstellung „true“, ermöglicht es Jamf Connect, weitere Ansprüche von einem PingFederate Token anzufordern. Diese Einstellung sollte nur verwendet werden, wenn Sie intern verwaltete Referenztoken von PingFederate ausgeben.

Weitere Informationen zur Verwaltung von PingFederate finden Sie im Abschnitt OAuth Configuration (OAuth Konfiguration) im PingFederate Administrator's Manual (PingFederate Administratorhandbuch).

<key>UseUserInfo</key>
<false/>

Einstellungen für FileVault

  • Domäne

    com.jamf.connect.login

  • Beschreibung

    Zum Konfigurieren der Aktivierung von FileVault mit Jamf Connect.

Schlüssel

Beschreibung

EnableFDE

FileVault aktivieren

Bei der Einstellung „true“ wird FileVault für den ersten Benutzer aktiviert, der sich an einem Computer anmeldet.

<key>EnableFDE</key>
<false/>

EnableFDERecoveryKey

FileVault Wiederherstellungsschlüssel speichern

Bei der Einstellung „true“ speichert Jamf Connect den persönlichen Wiederherstellungsschlüssel (PRK) unter /var/db/NoMADFDE, sofern kein anderer Speicherort angegeben ist.

<key>EnableFDERecoveryKey</key>
<false/>

EnableFDERecoveryKeyPath

Dateipfad für Wiederherstellungsschlüssel festlegen

Gibt einen benutzerdefinierten Dateipfad für den persönlichen Wiederherstellungsschlüssel an, der anstelle der Standardeinstellung /var/db/NoMADFDE benutzt werden soll.

<key>EnableFDERecoveryKeyPath</key>
<string>/usr/local/filevault</string>

LAPSUser

LAPS-Benutzer

Ein bestehender lokaler Administratoraccount, dessen Passwort von Jamf Connect in den persönlichen Wiederherstellungsschlüssel geändert werden kann.

Diese Einstellung wird von Jamf Connect nur verwendet, um FileVault für Standardaccounts auf macOS 10.15.x zu aktivieren. Diese Einstellung sollte auf Computern mit macOS ab Version 11.0.1 nicht verwendet werden.

<key>LAPSUser</key>
<string>AdminBenutzer</string>

Einstellungen für Nutzungsbedingungen

  • Domäne

    com.jamf.connect.login

  • Beschreibung

    Zum Konfigurieren von Nutzungsbindungen, die Benutzern im Jamf Connect Anmeldefenster angezeigt werden.

Schlüssel

Beschreibung

EULAFilePath

Dokument mit den Nutzungsbedingungen

Gibt den Pfad zur Datei mit den Nutzungsbedingungen an, denen Benutzer zustimmen müssen, bevor sie sich anmelden können. Diese Dateiformate werden unterstützt:

  • PDF
  • TXT
  • RTF
  • RTFD
<key>EULAFilePath</key>
<string>/usr/local/shared/NutzungsbedingungenBeispiel.pdf</string>

EULAPath

Pfad der Audit-Datei

Gibt den Dateipfad zu einem Verzeichnis an, in dem ein Protokoll über die Zustimmung des Benutzers zu den Nutzungsbedingungen gespeichert wird.

Dieser Pfad muss die Berechtigungen aufweisen, die dem _SecurityAgent Schreibzugriff gewähren. /Benutzer/Geteilt/ wird empfohlen.

<key>EULAPath</key>
<string>/Benutzer/Geteilt/</string>

EULAText

Text der Nutzungsbedingungen

Der eigentliche Textinhalt der Nutzungsbedingungen.
Hinweis:

Zum Formatieren des Textinhalts können Sie *** in diesem Zeichenfolgenwert eingeben, um eine neue Zeile zu beginnen.

<key>EULAText</key>
<string>Beispiel-Text.***Neue Zeile im Beispiel-Text.</string>

EULATitle

Titel der Nutzungsbedingungen

Ein Titel für die Nutzungsbedingungen

<key>EULATitle</key>
<string>Nutzungsbedingungen</string>

EULASubTitle

Untertitel der Nutzungsbedingungen

Ein Untertitel für die Nutzungsbedingungen

<key>EULASubTitle</key
<string>Sie müssen den Nutzungsbedingungen zustimmen, ehe Sie Ihren Mac verwenden können.</string>

Einstellungen für Anmeldeskripte

  • Domänecom.jamf.connect.login
  • Beschreibung

    Zum Ausführen von Skripten während des Anmeldevorgangs.

    Hinweis:

    Sie müssen den „RunScript“-Mechanismus zunächst aktivieren, bevor Sie die zugehörigen Skripteinstellungen konfigurieren können.

Schlüssel

Beschreibung

ScriptArgs

Skriptargumente

Die Argumente, die mit einem bestimmten Skript verwendet werden sollen, das mithilfe des Mechanismus „RunScript“ ausgeführt wird.

Hinweis:

Der Schlüssel ScriptPath muss angegeben werden.

<key>ScriptArgs</key>
<array>
<string>-v</string>
<string>-user</string>
</array>

ScriptPath

Skriptpfad

Gibt den Pfad zu einem Skript oder zu einer anderen ausführbaren Datei an, die mit dem Mechanismus „RunScript“ ausgeführt werden soll. Sie können mit Jamf Connect Login immer nur ein Skript gleichzeitig verwenden.

<key>ScriptPath</key>
<string>/usr/local/bin/loginScript</string>

NotifyLogStyle

Jamf Pro Richtlinienprotokolle als Statusaktualisierungen im „Notify“-Bildschirm anzeigen

Wenn der „Notify“-Bildschirm von Jamf Connect konfiguriert ist, werden Richtlinienprotokolle von Jamf Pro während der automatischen Geräteregistrierung (früher DEP) als Statusaktualisierungen für Benutzer angezeigt.

Um diese Einstellung zu aktivieren, setzen Sie diesen Wert auf jamf.

<key>NotifyLogStyle</key>
<string>Jamf</string>

UIDTool

Verwenden eines benutzerdefinierten UID-Tools

Gibt den Pfad zu einem UID-Tool an, mit dem Sie bei der Kontoerstellung als UID eines lokalen Benutzerkontos einen benutzerdefinierten Wert festlegen können. Dieser kann dazu verwendet werden, die UID des lokalen Benutzers mit dem zugehörigen LDAP-UID-Attribut zu verknüpfen. Bei Ihrem UID-Tool muss es sich um ein ausführbares Skript handeln.

Ihr UID-Tool muss für die Verarbeitung von Kurznamen für Accounts konfiguriert sein und die UID des betreffenden Benutzeraccounts zurückgeben.

<key>UIDTool</key>
<string>/Benutzer/Geteilt/UIDTool</string>

Einstellungen für das Pluggable Authentication Module (PAM)

  • Domänecom.jamf.connect.login
  • Beschreibung

    Hiermit kann auf Computern die Authentifizierung mit dem PAM aktiviert werden.

Schlüssel

Beschreibung

AuthUIOIDCProvider

Identitätsdienst (PAM)

Der Identitätsdienst, der bei der Authentifizierung mit dem Pluggable Authentication Module (PAM) verwendet werden soll.

<key>AuthUIOIDCProvider</key>
<string>Identitätsdienst-einfügen</string>

AuthUIOIDCClientID

Client-ID (PAM)

Die Client-ID der bei Ihrem Identitätsdienst erstellten Jamf Connect App, die für die Authentifizierung des Benutzers über das PAM verwendet wird.

<key>AuthUIOIDCClientID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

Weiterleitungs-URI (PAM)

Die Weiterleitungs-URI, die von der bei Ihrem Identitätsdienst erstellten Jamf Connect App verwendet wird.

<key>AuthUIOIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

Mandanten-ID (PAM)

Die Mandantenkennung bei Ihrem Identitätsdienst, die für die Authentifizierung über das PAM verwendet wird.

Hinweis:

Wenn Sie als Identitätsdienst Okta verwenden, muss dieser Schlüssel angegeben werden.

<key>AuthUIOIDCTenant</key>
<string>dev-123456</string>

AuthUIOIDCClientSecret

Client-Geheimnis (PAM)

Das Client-Geheimnis, das von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird. Dieser Wert ist nur Jamf Connect und Ihrem Identitätsdienst bekannt.

<key>AuthUIOIDCClientSecret</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>