Nombres cortos personalizados

El nombre corto (también llamado nombre de la cuenta) de una cuenta local de macOS se usa para realizar un seguimiento de los archivos y la información de un usuario en ordenadores Mac. El nombre corto coincide con el nombre de la carpeta de inicio del usuario y también se puede utilizar para iniciar sesión en ordenadores.

Jamf Connect usa el contenido de un token de identificación de un usuario (en formato de token web JSON) para determinar el nombre corto de una cuenta local nueva. Después de una autenticación correcta, Jamf Connect recibe un token de identificación de tu proveedor de identidades (IdP) de nube y busca las siguientes afirmaciones (parecido a una confirmación de atributo en SAML) para su uso para el nombre corto en orden:

  1. Una afirmación personalizada especificada por el ajuste Atributo de nombre corto (OIDCShortName). Entre las afirmaciones personalizadas usadas habitualmente para un nombre corto figuran given_name y name.

  2. unique_name

  3. preferred_username

  4. email

  5. sub

Si no existe ninguna afirmación, se usa «jamfconnect» como nombre corto.

Nombres cortos personalizados

Puedes configurar el ajuste Atributo de nombre corto (OIDCShortName) en tu perfil de configuración de la ventana de inicio de sesión para personalizar qué afirmación de un token de identificación se utiliza como el nombre corto de la cuenta local.

Ten en cuenta lo siguiente al configurar nombres cortos personalizados para cuentas locales:

  • Solo puedes usar afirmaciones enviadas en un token de identificación para configurar nombres cortos.

  • Si la afirmación que quieres usar no está en un token de identificación estándar, puedes recibir afirmaciones adicionales solicitando más ámbitos con el ajuste Ámbitos de OpenID Connect (OIDCScopes).

    Nota: El ámbito profile integrado de OpenID Connect contiene afirmaciones usadas habitualmente con información de usuario.

  • Los ámbitos y las afirmaciones estándar enviadas en un token de identificación pueden variar en función del IdP. Para ver qué afirmaciones se incluyen en un token de identificación enviado por tu IdP, puedes usar cualquiera de las siguientes opciones:

    • La prestación de pruebas de Jamf Connect Configuration

    • El ajuste Formatted ID Token Path (Ruta de token de identificación con formato) (OIDCIDTokenPath) para almacenar y consultar el token localmente

    • Un descodificador de token web JSON (JWT) de terceros

  • Si se usa Jamf Connect para conectar una cuenta de red con una cuenta local existente, el nombre corto personalizado se añade como un alias de cuenta local (un nombre corto alternativo que se puede usar para la autenticación local).

Ajustes avanzados de autenticación de inicio de sesión

Dominio: com.jamf.connect.login

Descripción: Se usa para configurar ajustes avanzados de autenticación y utilizar afirmaciones personalizadas en un token de identificación.

Clave

Descripción

Ejemplo

OIDCAuthServer

Servidor de autorización personalizado de Okta

(Solo Okta) Especifica un servidor de autorización personalizado en tu inquilino de Okta, que puede usarse para enviar afirmaciones y ámbitos personalizados en un token de identificación de usuario (almacenado con la clave OIDCTokenPath) durante la creación de una cuenta local.

Para definir este valor, usa el ID de servidor de autorización personalizado, que se puede encontrar a modo de cadena al final del URI de emisor de tu servidor de autorización personalizado. En el siguiente URI de emisor, «aus9o8wzkhckw9TLa0h7z» es el ID de servidor de autorización.

Ejemplo: https://your-custom-auth-server.okta.com/oauth2/aus8o8wzjhckw9TLa0t8q

Nota: Este ajuste solo debe usarse si tu inquilino de Okta tiene un servidor de autorización aparte que gestiona apps de OpenID Connect y atributos de token de identificación. Si este ajuste se configura con el mismo valor que ha usado tu inquilino principal con el ajuste Servidor de autenticación (AuthServer), la autenticación con Okta puede producir errores imprevistos.

 

Si quieres más información sobre la creación de un servidor de autorización personalizado, consulta la siguiente documentación de Okta: https://developer.okta.com/docs/guides/customize-authz-server/overview/

<key>OIDCAuthServer</key>

<string>aus8o8wzjhckw9TLa0t8q</string>

OIDCIgnoreCookies

Ignorar cookies

Ignora las cookies almacenadas por la aplicación loginwindow.

<key>OIDCIgnoreCookies</key>

<false/>

OIDCScopes

Ámbitos de OpenID Connect

Especifica ámbitos personalizados, que devuelven afirmaciones adicionales en un token de identificación de usuario durante la autorización. Los ámbitos estándar incluyen openid, profile y offline_access. Si incluyes varios ámbitos, sepáralos con un «+».

<key>OIDCScopes</key>

<string>openid+profile</string>

OIDCShortName

Nombre corto

Especifica qué afirmación de un token de identificación de usuario se utiliza como nombre corto de la cuenta. El nombre corto se añade como un alias a la cuenta local del usuario.

Nota: Si la afirmación que quieres usar no está en el token de identificación estándar, puedes recibir afirmaciones adicionales en un token de identificación especificando afirmaciones adicionales con la clave de preferencias OIDCScopes.

<key>OIDCShortName</key>

<string>nombre_dado</string>

OIDCIDTokenPath

Ruta del token de identificación con formato

Especifica la ruta de archivo que se puede usar para almacenar un token de identificación con formato de un usuario.

Nota: Esta clave requiere activar el mecanismo RunScript. Si quieres más información, consulta Scripts de inicio de sesión.

<key>OIDCIDTokenPath</key>

<string>/tmp/token</string>

OIDCIDTokenPathRaw

Ruta del token de identificación sin formato

Especifica la ruta de archivo que se puede usar para almacenar un token de identificación sin formato de un usuario.

Nota: Esta clave requiere activar el mecanismo RunScript. Si quieres más información, consulta Scripts de inicio de sesión.

<key>OIDCIDTokenPathRaw</key>

<string>/tmp/token-raw</string>

UserUserInfo

(Solo PingFederate) Cuando se define como verdadero, permite que Jamf Connect solicite afirmaciones adicionales a un token de usuario de PingFederate. Este ajuste solo debe usarse si estás emitiendo un token de referencia gestionado internamente de PingFederate.

Si quieres más información sobre la gestión de PingFederate, consulta la sección OAuth Configuration del PingFederate Administrator's Manual.

<key>UseUserInfo</key>

<false/>

Información relacionada

Puedes consultar información relacionada en:

Copyright     Política de privacidad     Condiciones de uso     Seguridad
© copyright 2002-2021 Jamf. Todos los derechos reservados.