Funciones de usuario para cuentas locales

En función del proveedor de identidades (IdP) de nube que uses, puedes configurar Jamf Connect para crear cuentas locales estándar o de administrador para los usuarios. Las cuentas locales se crean de las siguientes maneras:

  • Utilizar un token de identificación de usuario para crear administradores locales: Puedes especificar qué funciones de usuario (o grupos) de un token de identificación se usarán para crear administradores locales. Puedes usar los ajustes Atributo de administrador (OIDCAdminAttribute) y Funciones de administrador (OIDCAdmin) para configurar Jamf Connect para encontrar un atributo específico enviado por tu IdP y crear una cuenta local basada en los nombres de función especificados.

  • Crear todos los usuarios como administradores locales: Puedes usar el ajuste Crear usuarios administradores (CreateAdminUser) para crear todas las cuentas locales nuevas como administradores. Este ajuste debe utilizarse cuando no quieres crear ninguna cuenta estándar en los ordenadores o cuando necesitas que un usuario realice temporalmente tareas de administrador después de la creación de la cuenta. Si hay funciones configuradas en el IdP, se ignorarán temporalmente (hasta el siguiente inicio de sesión) para crear la cuenta de administrador.

    Importante: Este ajuste solo crea usuarios como administradores locales y no fuerza el estado de cuenta local después de la creación de la cuenta. Si hay atributos de función de usuario configurados en tu IdP y se incluyen en el token de identificación de un usuario, estos atributos se usarán durante el inicio de sesión subsiguiente y pueden cambiar el estado de la cuenta local. Usa el ajuste Ignorar funciones (OIDCIgnoreAdmin) para configurar Jamf Connect de modo que ignore temporalmente la información de función del token de identificación de un usuario.

  • (Solo en Okta) Crear múltiples integraciones de apps basadas en funciones en Okta: Si usas Okta, puedes crear integraciones de apps de OpenID Connect basadas en funciones para Jamf Connect y después asignar usuarios a cada integración de app. Jamf Connect puede reconocer integraciones de apps específicas para administradores, usuarios que pueden iniciar sesión con sus credenciales de Okta y usuarios que pueden crear cuentas locales adicionales.

Ajustes de función de usuario de OpenID Connect

Dominio: com.jamf.connect.login

Descripción: Se usa para configurar funciones de usuario a partir de los atributos de token de identificación recibidos desde una autenticación de OpenID Connect.

Clave

Descripción

Ajuste

OIDCAdminAttribute

Atributo de administrador

Especifica qué atributo almacenado en un token de identificación se usa para determinar si se crea un usuario local estándar o administrador para un usuario. Por omisión, Jamf Connect usará el atributo «grupos» para encontrar valores especificados en el ajuste Funciones de administrador (OIDCAdmin).

Notas:

  • Si usas Azure AD, define este valor como «roles (funciones)».

  • Si usas Google Identity, no se pueden definir funciones de usuario usando un token de identificación.

<key>OIDCAdminAttribute</key>

<string>grupos</string>

OIDCAdmin

Funciones de administrador

Especifica qué funciones de usuario (grupos) configurados en tu IdP se convierten en administradores locales durante la creación de cuentas. Puedes especificar una función como una cadena o varias funciones como una matriz de cadenas. Jamf Connect busca estos valores en el atributo «grupos» del token de identificación por omisión, salvo que se configure el ajuste Atributo de administrador (OIDCAdminAttribute).

Nota: Si usas Google Identity, no se pueden definir funciones de usuario usando un token de identificación.

<key>OIDCAdmin</key>

<string>función</string>

 

o

 

<key>OIDCAdmin</key>

<array>

<string>función-uno</string>

<string>función-dos</string>

<string>función-tres</string>

<string>función-cuatro</string>

</array>

OIDCIgnoreAdmin

Ignorar funciones

Cuando se define como verdadera, Jamf Connect Login ignorará las funciones existentes en tu IdP. Esta clave garantiza que las cuentas de usuarios locales mantienen su estado actual de cuenta de administrador o estándar.

Cuando se define como falsa o no se especifica, Jamf Connect Login leerá la clave OIDCAdmin para las funciones configuradas y cambiará el estado de una cuenta de usuario local de acuerdo con las funciones existentes en el IdP.

<key>OIDCIgnoreAdmin</key>

<false/>

Ajustes de función de usuario universales

Dominio: com.jamf.connect.login

Descripción: Ajuste de función de usuario que se puede usar con cualquier IdP de nube.

Clave

Descripción

Ajuste

CreateAdminUser

Crear usuarios administradores

Crea todos los usuarios nuevos como administradores locales.

Nota: Esta clave solo crea usuarios nuevos como administradores locales y no fuerza el estado de cuenta local después de la creación de la cuenta. Si se configuran funciones de usuario en tu IdP y se especifican con el ajuste Funciones de administrador (OIDCAdmin), las cuentas de usuarios locales pueden cambiar durante el siguiente inicio de sesión.

<key>CreateAdminUser</key>

<false/>

Ajustes de función de usuario de Okta

Dominio: com.jamf.connect.login

Descripción: (Solo en Okta) Se usa para configurar funciones de usuario para cuentas locales nuevas.

Clave

Descripción

Ejemplo

OIDCAccessClientID

ID de cliente de acceso

Aplicación OIDC que utilizar para los usuarios que tienen permiso para crear una cuenta o iniciar sesión en ordenadores.

 

Nota: Todos los usuarios, incluidos los administradores, debe añadirse a esta app en tu consola de administrador de Okta para garantizar el acceso a Jamf Connect.

<key>OIDCAccessClientID</key>

<string>0oad0gmia54gn3y8923h1</string>

OIDCAdminClientID

ID de cliente de administrador

Aplicación OIDC que utilizar para los usuarios que se han creado como administradores locales durante la creación de cuentas.

 

Nota: Solo se deben añadir administradores a esta app en tu consola de administrador de Okta.

<key>OIDCAdminClientID</key>

<string>0oa0gwese54gn3y9O0h4</string>

OIDCSecondaryLoginClientID

ID de cliente de inicio de sesión secundario

Aplicación OIDC que utilizar para los usuarios que tienen permiso para crear usuarios adicionales en ordenadores después de haberse creado la primera cuenta.

<key>OIDCSecondaryLoginClientID</key>

<string>0oa0grdsrhdsre54gn3y9O0h4</string>

Información relacionada

Si quieres información relacionada sobre la configuración de funciones en tu IdP, consulta Integraciones de proveedores de identidades.

Copyright     Política de privacidad     Condiciones de uso     Seguridad
© copyright 2002-2021 Jamf. Todos los derechos reservados.