Ajustes de autenticación

Debes configurar e implementar ajustes de autenticación mediante un perfil de configuración de ordenador. Estos ajustes permiten a Jamf Connect autenticarse en la ventana de inicio de sesión y en la app de barra de menús, así como establecer una conexión entre cuentas de usuarios locales en el Mac y un proveedor de identidades (IdP) de nube.

Ten en cuenta lo siguiente al configurar ajustes de autenticación con Jamf Connect:

  • Los ajustes de autenticación para la app de barra de menús de Jamf Connect se incluyen en la clase de diccionario IdPSettings.

  • Si usas la barra de menús y la ventana de inicio de sesión en tu entorno, se recomienda configurar Jamf Connect para crear una contraseña inicial mediante la cuenta de red de un usuario. Esto garantiza que no se pida a los usuarios que cambien su contraseña justo después de crear la cuenta. Si quieres más información, consulta Creación de la contraseña local inicial.

  • Los ajustes de autenticación mínimos dependen de tu IdP de nube y del entorno.

Ajustes de autenticación mínimos por proveedor de identidades

A continuación se indican los ajustes de autenticación mínimos que se necesitan para usar Jamf Connect con cada proveedor de identidades compatible.

Proveedor de identidades

Ventana de inicio de sesión

Apps de la barra de menús

Azure AD

  • Proveedor de identidades
  • ID de cliente
  • Proveedor de identidades
  • ID de cliente

Google Cloud ID

  • Proveedor de identidades
  • ID de cliente
  • Secreto de cliente

Incompatible

IBM Security Verify

  • Proveedor de identidades
  • ID de cliente
  • ID de inquilino
  • Proveedor de identidades
  • ID de cliente
  • ID de inquilino

Okta

  • Proveedor de identidades
  • Servidor de autenticación
  • Proveedor de identidades
  • Servidor de autenticación

OneLogin

  • Proveedor de identidades
  • ID de cliente
  • ID de inquilino
  • Códigos de proceso correcto (con autenticación MFA activada)
  • Proveedor de identidades
  • ID de cliente
  • ID de inquilino
  • Códigos de proceso correcto (con autenticación MFA activada)

PingFederate

  • Proveedor de identidades
  • ID de cliente
  • URL de detección
  • Proveedor de identidades
  • ID de cliente
  • URL de detección

Personalizado

  • Proveedor de identidades
  • ID de cliente
  • URI de redirección
  • URL de detección
  • Proveedor de identidades
  • ID de cliente
  • URL de detección

Terminales de URL de detección para autenticación con OpenID Connect

Jamf Connect usa la terminal de detección de tu proveedor de identidades de nube (IdP) durante el proceso de autenticación con OpenID Connect. En función de tus ajustes de perfil de configuración e IdP, Jamf Connect usa la siguiente secuencia para encontrar un valor de terminal de URL de detección:
  1. Un valor de «URL de detección» en un perfil de configuración de Jamf Connect. Si se configura, este valor reemplazará los valores de URL de detección preconfigurados de Jamf Connect para tu IdP. Esta opción es un requisito para las opciones de PingFederate e IdP personalizado.

  2. Usa un valor de ID de inquilino para construir automáticamente una URL de detección en un perfil de configuración de Jamf Connect. Esta opción es un requisito para IBM Security Verify y OneLogin.

  3. Usa automáticamente una URL de detección por omisión que viene preconfigurada en Jamf Connect. Azure AD y Google Cloud ID utilizan esta opción.

Para que la autenticación con Jamf Connect no use una URL de detección no válida, asegúrate de hacer lo siguiente:
  • Si utilizas un proveedor de identidades distinto de PingFederate o una opción personalizada, los pares clave-valor de URL de detección no deben estar configurados o deben coincidir con la terminal de detección documentada por tu IdP.

  • Si usas Jamf Connect con Azure AD en un entorno de identidad híbrida de ADFS, además de asegurarte de que el ajuste URL de detección (OIDCDiscoveryURL) no está configurado, recuerda que el ajuste URL de detección (ID híbrido) (ROPGDiscoveryURL) debe usar tu terminal de detección de ADFS.

Terminales de detección de proveedor de identidades

La siguiente enumera las URL que deben incluirse en la lista aprobada en los ordenadores de tu entorno para la autenticación de Jamf Connect:
Azure AD (plataforma de identidad de Microsoft)
https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration
Nota:

Si tienes un ID de inquilino configurado, reemplaza «common» en la URL anterior por tu valor de OIDCTenant.

Azure AD
https://login.microsoftonline.com/common/.well-known/openid-configuration
Nota:

Si tienes un ID de inquilino configurado, reemplaza «common» en la URL anterior por tu valor de OIDCTenant.

Google Cloud ID

https://accounts.google.com/.well-known/openid-configuration

IBM Security Verify

https://yourtenant.ice.ibmcloud.com/oidc/endpoint/default/.well-known/openid-configuration

Okta (autenticación con OpenID Connect)

https://yourtenant.okta.com/.well-known/openid-configuration

OneLogin

https://yourtenant.onelogin.com/oidc/2/.well-known/openid-configuration