Seguridad

La gestión de contraseñas y certificados es un elemento fundamental de la funcionalidad de Jamf Connect, que utiliza tecnologías basadas en estándares para conectar con Active Directory o inicio de sesión único (SSO). Estas interacciones se completan con Kerberos, LDAP y conexiones de sesiones de URL seguras con tu proveedor de identidades (IdP) de nube. Jamf Connect usa las versiones de estas herramientas incluidas con macOS.

Si quieres conocer mejor estas interacciones y asegurarte de que tu información está protegida, repasa todas las medidas de seguridad de Jamf Connect.

Declinación de responsabilidades: Jamf Connect Login puede permitir a los usuarios que tienen el mismo nombre de usuario y contraseña iniciar sesión en la cuenta local incorrecta. Para asegurarse de que los usuarios solo puedan iniciar sesión en su cuenta, se recomienda emplear un método de autenticación multifactor (MFA). Jamf no acepta ninguna responsabilidad u obligación por daños o vulnerabilidades explotadas debido al aprovisionamiento de credenciales de cuenta idénticas.

Contraseñas

Cuando un usuario inicia sesión con Jamf Connect, su contraseña se introduce en un campo de texto seguro y nunca se escribe en un disco fuera del llavero de macOS.

Cuando se utiliza Kerberos, la contraseña se utiliza con la llamada a la API gss_aapl_initial_cred(), que autentica al usuario y obtiene un ticket de acceso (TGT). Al cambiar de contraseña, se sigue el mismo proceso empleando la llamada a la API gss_aapl_change_password(). Ambas llamadas a API usan la implementación de Apple de Heimdal Kerberos.

Nota: Todas las acciones de Kerberos se realizan con las API de Apple. La contraseña nunca se almacena en caché con un «kinit» u otras herramientas de interfaz de línea de comandos (CLI) de Kerberos.

Cuando se integra con Okta como IdP, Jamf Connect usa la API Authentication de Okta.

Cuando se integra con otros IdP, como Azure AD, Jamf Connect usa el protocolo OpenID Connect (OIDC) para comunicarse con el IdP.

Nota: Todas las conexiones de red se realizan con la API de carga de URL de macOS URLSession. Todas las comunicaciones se protegen con TLS para garantizar que no se corrompen.

Cuando Jamf Connect termina de usar tu contraseña, el valor se sobrescribe y se desasigna.

Si quieres más información sobre OpenID Connect, consulta la siguiente documentación de preguntas frecuentes de la OpenID Foundation: https://openid.net/connect/faq/

Si quieres más información sobre la API Authentication de Okta, consulta la siguiente documentación para desarrolladores de Okta: https://developer.okta.com/docs/reference/api/authn/#application-types

Uso del llavero

Si recibe instrucciones al respecto, Jamf Connect almacena la contraseña del usuario en el llavero local usando SecKeychainAddGenericPassword() y otras llamadas a la API SecKeychain. La contraseña se almacena en el llavero por omisión del usuario.

Si se almacena una contraseña en el llavero del usuario y se activa Kerberos, Jamf Connect usará esa contraseña en el lanzamiento. Si la contraseña no puede autenticar al usuario, Jamf Connect elimina la contraseña del llavero para evitar bloqueos. A continuación, se pide al usuario que vuelva a introducir una contraseña válida.

Seguridad de Active Directory

Jamf Connect no requiere modificar ningún ajuste de seguridad en Active Directory. Jamf Connect solo usa enlaces autenticados SASL al interactuar con Active Directory. Por omisión, Jamf Connect usa el ticket Kerberos del usuario para encriptar el tráfico LDAP con Active Directory. Jamf Connect se puede configurar para usar SSL además de conexiones LDAP con Active Directory.

Certificados

Jamf Connect no envía secretos del usuario a ningún servicio. La clave privada que genera tu solicitud de firma de certificado (CSR) nunca sale del llavero. El proceso se completa únicamente en Jamf Connect usando llamadas a las API SecKeychain y SecCertificate facilitadas por Apple.

Nota: Las claves privadas se marcan como no exportables por omisión, pero puedes usar una clave de preferencias para cambiar este ajuste.

Al enviar la CSR a una autoridad certificadora (CA) de Windows, se usa autenticación Kerberos, y la CSR se envía por SSL. La clave pública firmada resultante se recupera usando Kerberos y SSL, y después se coteja con la clave privada en el llavero.

Conexiones de red

Jamf Connect no busca conexiones entrantes. Todas las comunicaciones desde Jamf Connect son de salida y usan el máximo nivel disponible de seguridad de transporte.

Espacio de usuario

Ten en cuenta lo siguiente:

  • Jamf Connect se ejecuta en el espacio del usuario, y no como root. Por lo tanto, no tiene más privilegios que el usuario que ha iniciado sesión.

  • La funcionalidad de Jamf Connect es la misma para administradores y usuarios estándar de macOS.

Copyright     Política de privacidad     Condiciones de uso     Seguridad
© copyright 2002-2021 Jamf. Todos los derechos reservados.