Inicio de sesión único

Puedes integrar el sistema con un proveedor de identidades (IdP) de terceros para activar el inicio de sesión único para partes de Jamf Pro. Cuando SSO está configurado y activado, los usuarios son redirigidos automáticamente a la página de inicio de sesión del IdP de la organización. Después de la autenticación, los usuarios obtienen acceso al recurso en cuestión.

Se puede activar SSO para las siguientes partes de Jamf Pro:

  • Servidor de Jamf Pro

    Cada vez que un usuario no autenticado intenta acceder al servidor de Jamf Pro, se le redirige a la página de inicio de sesión del IdP, salvo que se seleccione la casilla Permitir que los usuarios omitan la autenticación de inicio de sesión único en «Opciones de inicio de sesión único de de Jamf Pro».

  • La inscripción iniciada por usuario (iOS y macOS)

    Los usuarios deben autenticarse con un IdP para completar la inscripción iniciada por usuario. El nombre de usuario introducido durante la autenticación SSO será utilizado por Jamf Pro para rellenar el campo Nombre de usuario en la categoría «Usuario y ubicación» durante una actualización de inventario.

  • Jamf Self Service para macOS

    Los usuarios deben autenticarse con un IdP para acceder a Self Service. El nombre de usuario introducido durante la autenticación SSO será utilizado por Jamf Pro para calcular ámbitos. Self Service puede acceder a todos los nombres de usuario existentes del IdP.

Nota:
  • Se recomienda usar puntos finales SSL (HTTPS) y el enlace POST para la transmisión del protocolo SAML.

  • Al configurar los ajustes de tu IdP, se recomienda usar una firma SHA-256 o superior para las afirmaciones SAML.

Inicio de sesión único y LDAP

Si LDAP también está integrado con Jamf Pro, ten en cuenta lo siguiente al configurar SSO:

  • Si usas usuarios o grupos LDAP para SSO, deben añadirse primero como usuarios o grupos de Jamf Pro estándar en los ajustes de «Cuentas y grupos de usuarios de Jamf Pro».

  • Si LDAP está integrado con Jamf Pro, se pueden usar limitaciones y exclusiones LDAP. Se calcularán cotejando el nombre de usuario introducido en el IdP durante el inicio de sesión de usuario de Self Service con el nombre de usuario LDAP.

  • Si LDAP no está integrado con Jamf Pro, los destinos y exclusiones de un nombre de usuario se calcularán cotejando el nombre de usuario introducido en el IdP durante el inicio de sesión de usuario de Self Service con los grupos y cuentas de usuarios de Jamf Pro.

Cierre de sesión único

Jamf Pro utiliza el cierre de sesión único (SLO) SAML iniciado por el IdP durante la inscripción para garantizar que los usuarios puedan cerrar todas las sesiones iniciadas con Jamf Pro y el IdP. Una vez que los usuarios han completado el proceso de inscripción, se muestra un botón Cierre de sesión. Usa el panel Mensajes de los ajustes de inscripción iniciada por usuario para personalizar el texto mostrado durante el proceso de inscripción iniciada por el usuario.

SLO no está disponible en las siguientes situaciones:

  • Tu IdP no proporciona ningún punto final de SLO en los metadatos.

  • No se ha configurado un «Certificado de firma de Jamf Pro».

Cuando SLO no está disponible, se muestra a los usuarios un mensaje que indica que la sesión del IdP puede seguir activa. Esto es importante para los administradores de Jamf Pro que no puedan cerrar la sesión del todo después de realizar el proceso de inscripción para otros usuarios.

Nota:

Para admitir configuraciones de IdP no habituales, se puede usar el enlace GET (menos seguro que POST) para el cierre de sesión único SAML.

Activación del inicio de sesión único en Jamf Pro

Para activar el inicio de sesión único (SSO), debes configurar ajustes en la consola de tu IdP y en Jamf Pro.

La configuración de ajustes de tu IdP debe completarse antes de activar SSO en Jamf Pro. En algunos entornos, es necesario configurar tu IdP y Jamf Pro simultáneamente.

Nota:

La activación de SSO para servicios y aplicaciones de Jamf Pro impide que los usuarios se autentiquen con credenciales del resto de usuarios. Jamf te recomienda notificar a los usuarios sobre los cambios en la experiencia de autenticación de tu organización, si se ha activado.

Requisitos
  1. En Jamf Pro, haz clic en Ajustes en la esquina superior derecha de la página.
  2. En la sección Ajustes del sistema, haz clic en Inicio de sesión único .
  3. Haz clic en Editar .
  4. Usa el interruptor Activar autenticación de inicio de sesión único para activar la configuración.
    Nota:

    En el cuadro URL de inicio de sesión de reserva, haz clic en Copiar a portapapeles y guarda la URL de inicio de sesión de reserva en un lugar seguro. Esta URL te permitirá iniciar sesión usando tus credenciales de Jamf Pro después de que SSO esté configurado y activado.

  5. Elige tu IdP en el menú desplegable Proveedor de identidades.

    Si tu IdP no aparece en la lista, selecciona Otro e introduce el nombre de tu IdP en el campo Otro proveedor. El campo ID de entidad se prerrellena por omisión (p. ej., «https://JAMF_PRO_URL.jamfcloud.com/saml/metadata»).

    Nota:

    En la mayoría de IdP, el valor ID de entidad debe coincidir con el valor Audience URI (URI de audiencia) en los ajustes de configuración del IdP.

  6. Haz clic en una opción para configurar el ajuste Origen de los metadatos del proveedor de identidades:
    • Archivo de metadatosTe permite cargar un archivo de metadatos en formato .xml.
    • URL de metadatosDebes obtener esta URL desde los ajustes de configuración de tu IdP (p. ej., «Audience URI» [URI de audiencia] o «Audience Restriction» [Restricción de audiencia]).
  7. (Opcional) Activa el Reemplazo de momento de caducidad de token si necesitas reemplazar el periodo de caducidad de token por omisión especificado por tu IdP.

    Cuando se activa, el valor en minutos determina el tiempo hasta que caduca el token SAML. El valor viene prerrellenado con el valor por omisión determinado por tu IdP seleccionado. Si reemplazas el valor por omisión, debes asegurarte de que el nuevo valor coincida con los ajustes de caducidad de token configurados en tu IdP.

    El ajuste Reemplazo de momento de caducidad de token se define con el valor Desactivado por omisión. Esto significa que se usa el periodo de caducidad por omisión proporcionado por tu IdP.

    Importante:

    Si tu IdP es Azure, Google Workspace u Okta, los usuarios finales o los usuarios de Jamf Pro que utilicen dispositivos inscritos pueden tener errores de inicio de sesión si el ajuste Reemplazo de momento de caducidad de token está activado. Para evitar estos errores, te puede convenir desactivar el ajuste Reemplazo de momento de caducidad de token. Esto impedirá que Jamf Pro verifique la vigencia del token, que será controlada y comprobada por tu IdP. Opcionalmente, puedes asegurarte de que la caducidad del token configurada en Jamf Pro supere el periodo de caducidad configurado por tu IdP. Sin embargo, es posible que siga habiendo problemas si el periodo de caducidad del token cambia dinámicamente.

  8. Haz clic en una opción para configurar el ajuste Asociación de usuarios del proveedor de identidades para definir qué atributo del token SAML debe asociarse a los usuarios de Jamf Pro:
    • NameIDEste es el nombre de atributo por omisión.
    • Atributo personalizadoTe permite definir un nombre de atributo personalizado que esté incluido en el token SAML enviado desde el IdP.
  9. Haz clic en Nombre de usuario o Correo para Asociación de usuarios de Jamf Pro.

    Estas opciones determinan cómo los usuarios de tu IdP se asociarán a los usuarios de Jamf Pro. Por omisión, Jamf Pro obtiene información sobre el usuario del IdP y la compara con cuentas de usuario de Jamf Pro existentes. Si la cuenta de usuario entrante no existe en Jamf Pro, se busca en los nombres de los grupos.

  10. Introduce el atributo de afirmación SAML que define usuarios en el IdP en el campo Nombre del atributo de grupo del proveedor de identidades.

    Jamf Pro busca en todos los grupos de la base de datos de Jamf Proy compara los nombres de grupo. Cada usuario recibirá privilegios de acceso de todos los grupos del mismo modo que un usuario local de Jamf Pro. Las cadenas AttributeValue pueden ser múltiples cadenas, una sola cadena o valores separados por puntos y comas.

    Ejemplo: http://schemas.xmlsoap.org/claims/Group
  11. (Opcional) Usa el campo Clave RND para grupo LDAP para extraer el nombre del grupo de las cadenas enviadas en formato LDAP de nombres distinguidos (DN).

    Jamf Pro busca la cadena entrante para un nombre distinguido relativo (RDN) con la clave especificada y usa el valor de la clave RDN como nombre del grupo.

    Nota:

    Si el servicio de directorio LDAP contiene varias partes RDN con la misma clave (p. ej., CN=Administradores, CN=Usuarios, O=TuOrganización), Jamf Pro extraerá nombres de grupo de la clave RDN del extremo izquierdo (p. ej., CN=Administradores). Si dejas el campo Clave RND para grupo LDAP en blanco, Jamf Pro usará la cadena de formato LDAP entera.

  12. (Opcional) Haz clic en la casilla Seguridad y haz clic en una opción de Certificado de firma de Jamf Pro para establecer una comunicación SAML segura con un certificado:
    • Generar certificadoTe permite generar un certificado de firma si no proporcionas uno propio. Haz clic en Generar para generar automáticamente un certificado de firma.
    • Cargar certificadoTe permite cargar tu propio certificado de firma. Si cargas el certificado de firma de Jamf Pro, carga un almacén de claves de certificado de firma (.jks o .p12) con una clave privada para firmar y encriptar tokens SAML, introduce la contraseña del archivo de almacén de claves, selecciona un alias de clave privada e introduce la contraseña de la clave.
    Nota:

    Para algunos IdP, es posible que tengas que descargar el certificado e incluirlo en los ajustes de configuración de tu IdP.

  13. (Opcional) Haz clic en Opciones de inicio de sesión único de Jamf Pro para configurar las siguientes opciones adicionales:
    • Permitir que los usuarios omitan la autenticación de inicio de sesión único

      Permite que los usuarios inicien sesión en Jamf Pro sin SSO, si acceden directamente a la URL de Jamf Pro. Cuando un usuario intenta acceder a Jamf Pro a través de tu IdP, se siguen produciendo la autorización y autenticación de SSO.

    • Activar el inicio de sesión único en Self Service para macOSPermite que los usuarios inicien sesión en Self Service a través de la página de inicio de sesión del IdP. Self Service puede acceder a todos los nombres de usuario existentes del IdP.
      Nota:
      • Al activar esta opción, se cambia automáticamente el Tipo de autenticación en Ajustes > Self Service > macOS > Inicio de sesión a Inicio de sesión único.

      • Al desactivar esta opción, se cambia automáticamente el Tipo de autenticación en Ajustes > Self Service > macOS > Inicio de sesión a Cuenta LDAP o cuenta de usuario de Jamf Pro.

    • Activar inicio de sesión único para inscripción iniciada por el usuario

      Permite que los usuarios se inscriban en Jamf Pro a través de la página de inicio de sesión del IdP. Cuando está activado, el nombre de usuario introducido en la página de inicio de sesión del IdP será el nombre de usuario que Jamf Pro usará para el campo Nombre de usuario en la categoría «Usuario y ubicación» al actualizar la información de inventario de un ordenador o dispositivo móvil. Puedes hacer clic en Cualquier usuario de proveedor de identidades para permitir el acceso a todos los usuarios de tu IdP, o hacer clic en Solo este grupo para restringir el acceso solo a un grupo determinado de usuarios.

      Nota:
      • Si LDAP está integrado con Jamf Pro, la información de «Usuario y ubicación» se rellenará íntegramente usando una consulta desde Jamf Pro en LDAP.

      • Si LDAP no está integrado con Jamf Pro, el campo Nombre de usuario será el único ítem que se rellenará en la categoría «Usuario y ubicación». La consulta de usuarios no funcionará durante la inscripción.

  14. Haz clic en Guardar .
  15. (Opcional) Haz clic en Descargar para descargar el archivo XML de metadatos de Jamf Pro.
    Algunos IdP requieren el archivo de metadatos para configurar SAML correctamente. El archivo contiene varias URL importantes que indican al IdP adónde enviar a un usuario, además de cómo hacer la comprobación en Jamf Pro.
    • EntityDescriptor: jamfproURI/saml/metadata

    • SingleLogoutService: jamfproURI/saml/SingleLogout

    Para otros IdP, se requieren metadatos mínimos, y no hace falta el archivo de metadatos. Esto permite una configuración más ágil, ya que el sistema proporciona toda la información necesaria automáticamente.

Los usuarios ahora son redirigidos automáticamente a la página de inicio de sesión del IdP de tu organización para acceder a partes configuradas de Jamf Pro.

Prueba de la configuración de inicio de sesión único

  1. Cierra sesión en Jamf Pro y en tu IdP.
  2. Accede a tu URL de Jamf Pro en un navegador web.

    El sistema te redirigirá a la página de inicio de sesión SSO.

  3. Inicia sesión en Jamf Pro mediante tus credenciales de SSO.
La página de inicio de sesión de tu IdP te redirigirá correctamente al tablero de Jamf Pro después de la autenticación.