Integración con Azure AD

Integrar Jamf Pro con Azure AD como proveedor de identidades de nube permite usar los siguientes procesos LDAP sin necesidad de configurar servicios de dominio de Azure AD:

  • Consultar todos los usuarios y grupos a efectos de inventario

  • Consultar las pertenencias de los usuarios y usarlas para asociar privilegios a las cuentas pertinentes en Jamf Pro

  • Configurar la autenticación de usuario y definir ámbitos

Al integrar Jamf Pro con Azure AD, ten en cuenta lo siguiente:

  • Tu instancia de Jamf Pro debe estar alojada en Jamf Cloud.

  • Necesitas privilegios de Azure AD de administrador global para gestionar el consentimiento solicitado por la app Jamf Pro Azure AD Connector.

  • Los grupos de usuarios añadidos en Jamf Pro tienen el mismo nombre que los grupos definidos en Azure. Las cuentas y grupos añadidos en Jamf Pro deben ser de tipo estándar.

  • Al trabajar con procesos relacionados con directorios (p. ej., añadir limitaciones y exclusiones de ámbito), los ítems de identidad de nube de Azure AD se enumeran bajo las cabeceras LDAP.

Azure AD como integración de IdP de nube usa la API Microsoft Graph y conexiones con el dominio https://graph.microsoft.com. Junto con el consentimiento concedido por el administrador a través del Cloud Connector, esto garantiza que los datos del directorio se pasen y se usen automáticamente en los procesos de directorio de Jamf Pro. En Azure no se ejecutan más acciones que la lectura de los datos.

Al configurar la conexión de la API Graph entre Jamf Pro y Azure AD, se requieren privilegios de usuario de administrador global para la autenticación. Tras una autenticación correcta, se añade automáticamente una aplicación para Jamf Pro en Azure AD para usar la API Graph. Esto significa que no hace falta crear manualmente la aplicación en Azure AD. Una vez añadida la aplicación, se cierra la sesión. Cuando Jamf Pro hace consultas en Azure AD, está en modo de solo lectura. Jamf Pro no puede escribir datos en Azure AD.

El siguiente diagrama muestra la integración típica de Jamf Pro y el IdP de Azure AD:

Después de recibir el consentimiento, la aplicación web Cloud Connector hace una autorización de un identificador de cliente dado y del identificador de instancia recibido con respecto a la terminal de autorización de Azure. Como resultado, Azure responde con un código de autorización. Este código se devuelve con el identificador de instancia a Jamf Pro. Una vez que Jamf Pro recibe el conjunto de datos de la aplicación web Cloud Connector, verifica el código de autorización recibido. Si no hay problemas con el conjunto de datos, la configuración se guarda. Este enfoque se asegura de que Jamf Pro limita el uso de los datos del inquilino de Azure solo al cliente/aplicación permitido.

La versión de TLS usada para proteger los datos en tránsito es 1.2 o superior con Perfect Forward Security (PFS). Jamf Pro siempre intentará negociar antes el protocolo superior.

Para crear la conexión, se requiere el siguiente conjunto de permisos para la aplicación Jamf Pro:

  • Iniciar sesión y leer el perfil de usuario

  • Leer datos del directorio

Cuando la conexión con Azure está activada, Jamf Pro puede enviar consultas de información del directorio desde Azure. El siguiente diagrama muestra el flujo típico de las consultas de datos del directorio.

Cuando el administrador inicializa la consulta del directorio, Jamf Pro solicita un token de acceso de Azure mediante el proceso Client Credentials (Credenciales de cliente). Una vez concedido el token, Jamf Pro envía consultas de datos del directorio a través de la API Microsoft Graph. Una vez que el cliente está verificado correctamente, se devuelve un conjunto de datos. Jamf Pro asocia estos datos a un objeto, que luego puede usarse en procesos de directorio en Jamf Pro. Si quieres más información sobre la API de REST de Microsoft Graph, consulta Referencia de la API de REST de Microsoft Graph versión 1.0.

Autenticación multifactor

Cuando se añade Azure AD con autenticación multifactor (MFA) activada como proveedor de identidades de nube, los procesos de autenticación en Jamf Pro (p. ej., inicio de sesión de Self Service e inicio de sesión de inscripción) no funcionan para grupos y cuentas de usuarios de Azure AD. Para permitir que los usuarios utilicen los procesos, debes configurar el inicio de sesión único (SSO) con Azure. Si quieres información sobre cómo configurar SSO en Jamf Pro, consulta Inicio de sesión único.

Importante:

Self Service para dispositivos móviles no admite procesos de inicio de sesión único.

La siguiente tabla resume cómo el estado de autenticación multifactor (MFA) en Azure afecta a los procesos de autenticación de Jamf Pro para el IdP de nube de Azure AD:

Tipo de proceso

Con MFA desactivado en Azure

Con MFA activado en Azure

Con MFA activado en Azure y SSO con Azure configurado en Jamf Pro

Inicio de sesión de Jamf Pro

Compatible (ventana de inicio de sesión estándar)

Incompatible

Compatible (pantalla de inicio de sesión de Microsoft)

Inicio de sesión de inscripción (inscripción iniciada por usuario y «Personalización de inscripción»)

Compatible (página de inicio de sesión de inscripción y panel «Autenticación con LDAP» en «Personalización de inscripción»)

Incompatible

Compatible (página de inicio de sesión de Microsoft/panel «Autenticación con LDAP» en «Personalización de inscripción»)

Aplicaciones de Jamf Pro ( p. ej. Jamf Admin)

Compatible (ventana de inicio de sesión estándar)

Incompatible

Incompatible

Inicio de sesión de Self Service para macOS

Compatible (ventana de inicio de sesión estándar)

Incompatible

Compatible (pantalla de inicio de sesión de Microsoft)

Inicio de sesión de Self Service para dispositivos móviles

Compatible (ventana de inicio de sesión estándar)

Incompatible

Incompatible

Configuración de una conexión con el proveedor de identidades de nube Azure AD

Importante:

Si Jamf Pro ya está integrado con una configuración LDAP de Active Directory de Microsoft o Azure Active Directory Domain Services a la que tienes previsto migrar una instancia de Azure AD, no añadas esta instancia de Azure AD como proveedor de identidades de nube en Jamf Pro hasta que vayas a migrar tu configuración. Para asegurarte de que tus procesos LDAP (p. ej., ámbitos o cuentas y grupos de usuarios) siguen funcionando correctamente, necesitarás migrar tu configuración. Si quieres más información, consulta Migración de un servidor LDAP a una instancia de proveedor de identidades de nube de Azure AD. Si añades la integración de AD antes de la migración, tu entorno puede dejar de funcionar correctamente.

Cuando se añade una conexión con el servidor, se activa por omisión. Puedes configurar varias conexiones y elegir qué configuración usar. Desactivar la conexión impide que Jamf Pro consulte datos a este servidor. Esto significa que puedes añadir una configuración diferente sin eliminar la conexión actual. Para desactivar la conexión, usa el interruptor.

  1. En Jamf Pro, haz clic en Ajustes en la esquina superior derecha de la página.
  2. En la sección Ajustes del sistema, haz clic en Proveedores de identidades de nube .
  3. Haz clic en Nuevo .
  4. Selecciona Azure y haz clic en Siguiente. El sistema te redirige a la página de consentimiento de administrador de Microsoft.
  5. Introduce tus credenciales de Microsoft Azure y sigue las instrucciones en pantalla para conceder los permisos solicitados por la aplicación Jamf Pro Azure AD Connector.
  6. Una vez completada la solicitud, accede a Jamf Pro y configura los ajustes de la pestaña «Configuración de servidor». Ten en cuenta lo siguiente:

    • El nombre visible de la configuración debe ser exclusivo.

    • El valor de «ID de instancia» se prerrellena con información de Microsoft.

    • Cuando se configura el inicio de sesión único (SSO) con Azure en Jamf Pro, selecciona Grupos transitivos para SSO para imponer consultas de pertenencia transitiva en el directorio de usuarios y grupos. Esto garantiza que todos los grupos de Azure a los que pertenece un grupo se incluyan en una consulta de directorio. No hace falta ejecutar consultas recursivas para enumerar los grupos a los que pertenece un usuario. Puedes configurar una asociación de usuarios específica en el campo Asociación de usuarios para afirmación SAML Esto te permite ajustar la asociación de nombres de usuario durante solicitudes de pertenencia transitivas y hacer la correspondencia del identificador de usuario desde los ajustes de inicio de sesión único SAML en la configuración de Azure.

    • Selecciona Búsquedas de pertenencia transitivas para imponer búsquedas de pertenencia para procesos de directorio que incluyan todos los grupos a los que pertenece un usuario o un grupo. Esto es recursivo y comprueba más que solo la pertenencia directa.

    • Se recomienda definir el valor 5 para «Tiempo de espera de conexión».

  7. Usa la pestaña Asociaciones para especificar asociaciones de atributos de usuario y asociaciones de atributos de grupo. Consulta la referencia de asociaciones por omisión en la sección «Asociaciones de atributos por omisión para Azure AD como proveedor de identidades de nube» de abajo y úsala para solucionar problemas con la conexión.
    Importante:

    Ten en cuenta lo siguiente para asegurarte de que la configuración funciona como debe:

    • Los valores para la asociación de ID de usuarios deben admitir el parámetro $filter en Azure AD.

    • El valor para la asociación de ID de grupos es «id» por omisión y no se puede cambiar.

    Nota:

    Puedes configurar asociaciones de atributos de proveedor de identidades de nube con la API de Jamf Pro. Si quieres más información, consulta el artículo Configuring Cloud Identity Provider Attribute Mappings Using Jamf Pro API (Configuración de asociaciones de atributos de proveedores de identidades de nube con la API Jamf Pro).

  8. Haz clic en Guardar .

Al guardar una conexión con el servidor se activa un proceso de verificación automático. Una vez guardada la configuración, puedes probar las asociaciones. Si quieres más información, consulta Prueba de asociaciones de atributos de proveedor de identidades de nube.

Asociaciones de atributos por omisión para Azure AD como proveedor de identidades de nube

La siguiente tabla enumera las asociaciones de Jamf Pro por omisión y los correspondientes atributos de proveedor de identidades de nube:

Nombre de asociación de atributos de Jamf Pro

Valor de asociación de atributos de proveedor de identidades de nube

userId

id

userName

userPrincipalName

realName

displayName

email

mail

department

department

building

 

room

 

phone

mobilePhone

position

jobTitle

groupId

id

groupName

displayName

Si quieres más información sobre los conjuntos de asociaciones, consulta la siguiente documentación de Microsoft: