Inicio de sesión único

Puedes integrar el sistema con un proveedor de identidades (IdP) de terceros para activar el inicio de sesión único para partes de Jamf Pro. Cuando SSO está configurado y activado, los usuarios son redirigidos automáticamente a la página de inicio de sesión del IdP de la organización. Después de la autenticación, los usuarios obtienen acceso al recurso en cuestión.

Se puede activar SSO para las siguientes partes de Jamf Pro:

  • Servidor de Jamf Pro: Cada vez que un usuario no autenticado intenta acceder al servidor de Jamf Pro, se le redirige a la página de inicio de sesión del IdP, salvo que se seleccione la casilla «Permitir que los usuarios omitan la autenticación de inicio de sesión único» en «Opciones de inicio de sesión único de Jamf Pro».

  • Inscripción iniciada por usuario (iOS y macOS): Los usuarios deben autenticarse con un IdP para completar la inscripción iniciada por usuario. El nombre de usuario introducido durante la autenticación SSO será utilizado por Jamf Pro para rellenar el campo «Nombre de usuario» en la categoría «Usuario y ubicación» durante una actualización de inventario.

  • Jamf Self Service para macOS: Los usuarios deben autenticarse con un IdP para acceder a Self Service. El nombre de usuario introducido durante la autenticación SSO será utilizado por Jamf Pro para calcular ámbitos. Self Service puede acceder a todos los nombres de usuario existentes del IdP.

Notas:

  • Se recomienda usar puntos finales SSL (HTTPS) y el enlace POST para la transmisión del protocolo SAML.

  • Al configurar los ajustes de tu IdP, se recomienda usar firmas SHA-256 o superiores para las confirmaciones SAML.

Inicio de sesión único y LDAP

Si LDAP también está integrado con Jamf Pro, ten en cuenta lo siguiente al configurar SSO:

  • Si usas usuarios o grupos LDAP para SSO, deben añadirse primero como usuarios o grupos de Jamf Pro estándar en los ajustes de «Cuentas y grupos de usuarios de Jamf Pro».

  • Si LDAP está integrado con Jamf Pro, se pueden usar limitaciones y exclusiones LDAP. Se calcularán cotejando el nombre de usuario introducido en el IdP durante el inicio de sesión de usuario de Self Service con el nombre de usuario LDAP.

  • Si LDAP no está integrado con Jamf Pro, los destinos y exclusiones de un nombre de usuario se calcularán cotejando el nombre de usuario introducido en el IdP durante el inicio de sesión de usuario de Self Service con los grupos y cuentas de usuarios de Jamf Pro.

Cierre de sesión único

Jamf Pro utiliza el cierre de sesión único (SLO) SAML iniciado por el IdP durante la inscripción para garantizar que los usuarios puedan cerrar todas las sesiones iniciadas con Jamf Pro y el IdP. Una vez que los usuarios han completado el proceso de inscripción, se muestra un botón «Cierre de sesión». Usa el panel Mensajes de los ajustes de inscripción iniciada por usuario para personalizar el texto mostrado durante el proceso de inscripción iniciada por el usuario.

SLO no está disponible en las siguientes situaciones:

  • Tu IdP no proporciona ningún punto final de SLO en los metadatos.

  • No se ha configurado un «Certificado de firma de Jamf Pro».

Cuando SLO no está disponible, se muestra a los usuarios un mensaje que indica que la sesión del IdP puede seguir activa. Esto es importante para los administradores de Jamf Pro que no puedan cerrar la sesión del todo después de realizar el proceso de inscripción para otros usuarios.

Nota: Para admitir configuraciones de IdP no habituales, se puede usar el enlace GET (menos seguro que POST) para el cierre de sesión único SAML.

Ajustes de configuración de proveedor de identidades

Para implantar el inicio de sesión único (SSO) con Jamf Pro, debes configurar ajustes en la consola, portal o herramienta similar del proveedor de identidades. Por norma general, la configuración de ajustes en un IdP debe completarse antes de activar SSO en Jamf Pro. Algunos IdP conocidos tienen ajustes de SSO preconfigurados para Jamf Pro.

Importante: En función de tu IdP, la configuración de SSO puede requerir la configuración simultánea de tu IdP y Jamf Pro para garantizar la correcta asociación de algunos ajustes. Es posible que se requieran ajustes o pasos adicionales.

Puedes consultar instrucciones de configuración de SSO para IdP específicos en los siguientes artículos de la base de conocimientos:

Si quieres información sobre cómo configurar SSO con Azure AD , consulta la siguiente documentación de Microsoft: https://docs.microsoft.com/azure/active-directory/saas-apps/jamfprosamlconnector-tutorial.

Activación del inicio de sesión único en Jamf Pro

Requisitos

Para activar el inicio de sesión único (SSO) en Jamf Pro, necesitas lo siguiente:

  • Integración con un proveedor de identidades (IdP) que admita protocolos SAML 2.0

  • Cuentas o grupos de usuarios de Jamf Pro con grupos o nombres de usuarios de IdP coincidentes

  • Privilegios de administrador para Jamf Pro y tu IdP

Procedimiento

Nota: La activación de SSO para servicios y aplicaciones de Jamf Pro impide que los usuarios se autentiquen con credenciales del resto de usuarios.

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81531741/Icon_Settings_Hover.png .

  3. Haz clic en Ajustes del sistema.

  4. Haz clic en Configurar el inicio de sesión único.

  5. Haz clic en Editar images/download/thumbnails/81532686/edit.png .

  6. Selecciona la casilla Activar autenticación de inicio de sesión único.

    Nota: Copia la URL de inicio de sesión de reserva y guárdala en un lugar seguro.

  7. Elige tu IdP en el menú desplegable Proveedor de identidades. Si tu IdP no está disponible en el menú desplegable, selecciona Otra.

  8. El ID de entidad se prerrellena por omisión (p. ej., «https://nombreinstancia.jamfcloud.com/saml/metadata») en Jamf Pro.

    Nota: Por norma general, este valor debe coincidir con el valor del URI de Audience (Audiencia) en los ajustes de configuración de tu IdP.

  9. Selecciona «URL de metadatos» o «Archivo de metadatos» en el menú desplegable Origen de los metadatos del proveedor de identidades. Este valor se obtiene a partir de los ajustes de configuración de tu IdP.

  10. Introduce un valor en minutos en el campo Caducidad de token. Este valor determina la cantidad de tiempo que debe transcurrir antes de que el token SAML caduque y se prerrellene en función de tu IdP.

    Importante: Asegúrate de que este valor coincida con los ajustes de caducidad de token configurados en tu IdP.

  11. Configura ajustes de «Asociación de usuarios»:

    1. Selecciona qué atributo del token SAML debe asociarse con los usuarios de Jamf Pro. NameID es la opción por omisión. Si seleccionas Atributo personalizado, define un atributo personalizado que esté incluido en el token SAML enviado desde el IdP.

      Nota: Para completar el intercambio de información entre Jamf Pro y el IdP, el token SAML enviado por el IdP debe incluir el atributo NameID para ambas opciones.

    2. Selecciona Nombre de usuario o Correo para determinar cómo los usuarios de tu IdP se asociarán a los usuarios de Jamf Pro. Por omisión, Jamf Pro obtiene información sobre el usuario del IdP y la compara con cuentas de usuario de Jamf Pro existentes. Si la cuenta de usuario entrante no existe en Jamf Pro, se busca en los nombres de los grupos.

    3. Introduce el atributo del token SAML que define usuarios en el IdP en el campo Nombre del atributo de grupo del proveedor de identidades. Jamf Pro busca en todos los grupos de la base de datos de Jamf Pro y compara los nombres de grupo. Los usuarios recibirán privilegios de acceso de todos los grupos del mismo modo que un usuario local de Jamf Pro. Las cadenas AttributeValue pueden ser múltiples cadenas o una sola cadena con valores separados por puntos y comas.

      Ejemplo: http://schemas.xmlsoap.org/claims/Group

    4. (Opcional) Usa el ajuste Clave RDN para grupo LDAP para extraer el nombre del grupo de las cadenas enviadas en formato LDAP de nombres distinguidos (DN). Jamf Pro buscará la cadena entrante para un nombre distinguido relativo (RDN) con la clave especificada y usará el valor de la clave RDN como nombre del grupo.

      Nota: Si el servicio de directorio LDAP contiene varias partes RDN con la misma clave (es decir, CN=Administradores, CN=Usuarios, O=TuOrganización), Jamf Pro extraerá nombres de grupo de la clave RDN del extremo izquierdo (CN=Administradores). Si se deja en blanco el campo «Clave RND para grupo LDAP», Jamf Pro usará toda la cadena de formato LDAP.

  12. (Recomendado) Elige una opción de Certificado de firma de Jamf Pro para proteger la comunicación SAML con una firma digital. Si cargas el certificado de firma de Jamf Pro, carga un almacén de claves de certificado de firma (.jks o .p12) con una clave privada para firmar y encriptar tokens SAML, introduce la contraseña del archivo KeyStore, selecciona un alias de clave privada e introduce la contraseña para esta clave.

  13. Configura una o más de las siguientes «Opciones de inicio de sesión único de Jamf Pro».

    • Selecciona Permitir que los usuarios omitan la autenticación de inicio de sesión único para permitir que los usuarios inicien sesión en Jamf Pro sin SSO, si navegan directamente a la URL de Jamf Pro. Cuando un usuario intenta acceder a Jamf Pro a través de tu IdP, se siguen produciendo la autorización y autenticación de SSO.

    • Selecciona Activar el inicio de sesión único en Self Service para macOS para permitir que los usuarios inicien sesión en Self Service mediante la página de inicio de sesión del IdP. Self Service puede acceder a todos los nombres de usuario existentes del IdP.

      Notas:

      • Si se selecciona, los ajustes de «Inicio de sesión» de Self Service para macOS cambiarán automáticamente los ajustes de «Inicio de sesión» de Self Service a «Inicio de sesión único».

      • Al desactivar SSO para Self Service se vuelve a definir el ajuste «Allow users to log in to view items available to them using an LDAP account or Jamf Pro user account» (Permitir a los usuarios iniciar sesión para ver los ítems de que disponen con una cuenta LDAP o cuenta de usuario de Jamf Pro) para el inicio de sesión de usuario de Self Service.

    • Selecciona Activar inicio de sesión único para inscripción iniciada por usuario para permitir que los usuarios se inscriban en Jamf Pro mediante la página de inicio de sesión del IdP. Cuando está activado, el nombre de usuario introducido en la página de inicio de sesión del IdP será el nombre de usuario que Jamf Pro usará para el campo «Nombre de usuario» en la categoría «Usuario y ubicación» al actualizar la información de inventario de un ordenador o dispositivo móvil. Puedes permitir el acceso a todos los usuarios de tu IdP o restringir el acceso solo a un grupo determinado de usuarios.

      Notas:

      • Si LDAP está integrado con Jamf Pro, la información de «Usuario y ubicación» se rellenará íntegramente usando una consulta desde Jamf Pro en LDAP.

      • Si LDAP no está integrado con Jamf Pro, el campo «Nombre de usuario» será el único ítem que se rellenará en la categoría «Usuario y ubicación». La consulta de usuarios no funcionará durante la inscripción.

  14. Haz clic en Save (Guardar) images/download/thumbnails/81531754/floppy-disk.png .

  15. (Opcional) Descarga el archivo de metadatos de Jamf Pro.

Los usuarios ahora serán redirigidos a la página de inicio de sesión del IdP de tu organización para acceder a partes configuradas de Jamf Pro.

Para probar los ajustes de autenticación SSO, cierra sesión en Jamf Pro y en tu IdP, y después accede a la URL de Jamf Pro en un navegador web. Se debería mostrar la página de inicio de sesión de tu IdP, y después de la autenticación deberías ser redirigido correctamente al Jamf Pro Dashboard.

Para solucionar los errores habituales al usar SSO, consulta el artículo de la base de conocimientos Troubleshooting Single Sign-On in Jamf Pro (Solución de problemas de inicio de sesión único en Jamf Pro).

Información relacionada

Puedes consultar información relacionada en las siguientes secciones de esta guía:

Copyright     Política de privacidad     Condiciones de uso     Seguridad
© copyright 2002-2020 Jamf. Todos los derechos reservados.