Integración con Google Identity

La integración de Jamf Connect con Google Cloud Identity conlleva dos pasos de integración distintos para utilizar tanto la ventana de acceso como la app de barra de menús:

Creación de una integración de OpenID Connect para la ventana de inicio de sesión

Jamf Connect usa el protocolo de autenticación OpenID Connect para crear cuentas locales e iniciar la sesión de los usuarios a través de la autenticación de red.

Creación e implementación de un certificado LDAP para la sincronización de contraseñas con la app de barra de menús

Jamf Connect aprovecha la autenticación LDAP con el servicio LDAP seguro de Google para verificar que la contraseña de red de un usuario coincide con su contraseña local en el Mac.

Creación de una integración de la app OpenID Connect para la ventana de inicio de sesión

Debes integrar Jamf Connect con Google ID creando credenciales de OAuth 2.0 para la app.

  1. Inicia sesión en Google Cloud.
  2. Haz clic en el icono del menú de navegación en la esquina superior izquierda.
  3. Haz clic en API y servicios > Credenciales.
    Nota:

    Es posible que el sistema te pida que crees un proyecto y lo asignes a tu organización.

  4. Selecciona ID de cliente de OAuth en el menú desplegable Create credentials (Crear credenciales).
  5. Completa lo siguiente en la página Crear ID de cliente de OAuth:
    1. En «Application type» (Tipo de aplicación), selecciona Aplicación web.
    2. Introduce Jamf Connect o algo similar en el campo Nombre.
    3. Introduce un URI válido, como https://127.0.0.1/jamfconnect en el campo URIs de redirección autorizados.
  6. Haz clic en Crear.

Tu credencial de cliente para Jamf Connect se ha creado correctamente, y se muestra un cuadro de diálogo que contiene tu ID de cliente y el secreto de cliente.

Copia el ID de cliente y el secreto de cliente en el portapapeles. Estos valores se deben incluir en tu perfil de configuración de Jamf Connect.

Importante:

También debes configurar la pantalla de consentimiento del usuario de Google, que describe a qué información accederá Jamf Connect desde la cuenta de Google del usuario. Para configurar esta pantalla, accede a API y servicios > Credenciales > pantalla de consentimiento de OAuth.

Generación de un archivo de almacén de claves PKCS12 (.p12) desde un cliente LDAP de Google Cloud

El servicio LDAP seguro de Google genera un certificado que sirve como mecanismo de autenticación principal para que los clientes LDAP se autentiquen con LDAP seguro.

Este certificado se utiliza para permitir que Jamf Connect sincronice la contraseña local y de Google de un usuario en un ordenador Mac.

Requisitos
  • Una suscripción a Google Identity que incluya el servicio LDAP de Google para que puedas descargar un certificado.

    Puedes consultar una lista de suscripciones a Google Identity admitidas en Proveedores de identidades de nube admitidos. Si quieres información sobre el servicio LDAP seguro de Google, consulta Acerca del servicio LDAP seguro en el sitio web Ayuda de Administrador de Google Workspace y Añadir y conectar clientes LDAP nuevos en el sitio web Ayuda de Cloud Identity de Google.
  • OpenSSL debe estar instalado en tu entorno local para convertir el certificado y la clave al formato de almacén de claves .p12.

  1. Inicia sesión en la consola de administración de Google.
  2. Haga clic en Aplicaciones y luego en LDAP.
  3. Elige el cliente LDAP que deseas integrar con Jamf Pro.

    El interruptor del servicio debe estar Activado para el cliente LDAP elegido.

  4. Haz clic en Autenticación.
  5. Descarga el archivo del certificado que utilizarás en la integración con Jamf Pro.
  6. Extrae el archivo descargado. Debe contener el archivo de certificado (.crt) y el archivo de clave privada (.key).
  7. Para generar el archivo de almacén de claves .p12, ejecuta el siguiente comando:
    openssl pkcs12 -export -out /path/to/generated/keystore.p12 -inkey /path/to/saved/privatekey.key -in /path/to/saved/certificate.crt
  8. Crea una contraseña cuando se solicite.

    Es la que usarás cuando accedas al archivo de almacén de claves. Guárdala en un lugar seguro.

Ahora puedes subir el archivo de almacén de claves .p12 generado a Jamf Pro o añadirlo localmente al llavero del sistema de un ordenador.

Implementación de un archivo de almacén de claves .p12 mediante Jamf Pro

Para que Jamf Connect pueda sincronizar las contraseñas de los usuarios, es necesario instalar en los ordenadores un archivo de almacén de claves .p12 generado a partir de un cliente LDAP en la consola de administración de Google.

Puedes utilizar Jamf Pro para implementar este archivo cargándolo en la carga útil de los certificados en un perfil de configuración.

  1. En Jamf Pro, haz clic en Ordenadores en la parte superior de la barra lateral.
  2. Haz clic en Perfiles de configuración en la barra lateral.
  3. Haz clic en Nuevo .
  4. Usa la carga útil General para configurar los ajustes básicos del perfil de configuración.
  5. En los certificados, carga útil, haz clic en Configurar.
  6. Ponle un nombre a tu certificado.
  7. Carga el archivo .p12 generado e introduce la contraseña del almacén de claves LDAP.
  8. Selecciona Permitir el acceso a todas las apps.
  9. Haz clic en Guardar .

El perfil de configuración se implementa en los ordenadores de destino.

Instalación manual de un archivo de almacén de claves .p12

Para que Jamf Connect pueda sincronizar las contraseñas de los usuarios, es necesario instalar en los ordenadores un archivo de almacén de claves .p12 generado a partir de un cliente LDAP en la consola de administración de Google.

Puedes instalarlo manualmente añadiéndolo al llavero del sistema a través de Keychain Access.

  1. Abre Keychain Access, y arrastra y suelta el archivo .p12 en el panel de Llavero del sistema.
  2. Cuando se te solicite, introducec la contraseña del almacén de claves del cliente LDAP que creaste al generar el archivo de almacén de claves.
  3. En el panel Llavero del sistema, haz clic en la pestaña Mis certificados .
  4. Edita la configuración de confianza del certificado LDAP para que el certificado sea siempre de confianza:
    1. Haz clic con el botón derecho del ratón en el certificado LDAP, haz clic en Evaluar "NombredetuCertificado"... y, a continuación, haz clic en Continuar.
    2. Haz clic en Mostrar certificado....
    3. Despliega el menú desplegable de Xonfianza y, a continuación, selecciona Confiar siempre en el menú emergente.
  5. Permite a todas las apps acceder al certificado:
    1. Haz clic en el triángulo de menú desplegable junto al certificado LDAP.
      Aparecerá la clave privada de LDAP.
    2. Haz doble clic en ella.
      Aparecerá una ventana de Clave privada.
    3. Asegúrate de que la opción Permitir que todas las aplicaciones accedan a este elemento esté seleccionada.
      Nota:

      Si deseas restringir el acceso únicamente a ldapsearch, puedes añadir /usr/bin/ldapsearch a la lista de aplicaciones con acceso.