Integración con Okta

Como Jamf Connect autentica a los usuarios de Okta directamente en tu dominio usando la API de autenticación de Okta, no necesitas realizar tareas adicionales en la consola de administrador de Okta para activar la autenticación y la sincronización de contraseñas. Las integraciones de apps de OpenID Connect solo son obligatorias para hacer lo siguiente:

  • Configuración de la asignación de funciones locales

    Puedes determinar si los usuarios se crean con cuentas locales de administrador o estándar con Jamf Connect creando diferentes integraciones de apps en Okta para usuarios estándar y administradores. A continuación, puedes asignar usuarios a cada app en Okta, y Jamf Connect usa la asignación de app del usuario para crear el tipo correcto de cuenta local.

  • Implementación de Jamf UnlockLa app Jamf Unlock solo usa el protocolo de autenticación OpenID Connect para autenticar a los usuarios durante el proceso de enlace.

Si quieres determinar si los usuarios se crean con cuentas locales o estándar con Jamf Connect, puedes crear integraciones de apps en Okta para usuario estándar y administradores, y después asignar usuarios a las apps según corresponda. Jamf Connect usará la app a la que se asigna al usuario para crear la cuenta local correcta.

  1. Inicia sesión en la Okta Admin Console.
  2. Haz clic en Applications (Aplicaciones).
  3. Haz clic en Add Application (Añadir aplicación). A continuación, haz clic en Create New App (Crear app nueva).
  4. Haz lo siguiente en la ventana «Create a New Application Integration» (Crear una nueva integración de aplicación):
    1. Selecciona App nativa en el menú desplegable Platform (Plataforma).
    2. Selecciona Conectar
    3. Haz clic en Crear.
  5. (Opcional) Haz lo siguiente en la página «Create OpenID Connect Integration» (Crear integración de OpenID Connect):
    1. Introduce un nombre para tu app, como Jamf Connect en el campo Application name (Nombre de aplicación).
    2. Carga un logotipo de aplicación.
    3. En función de si estás configurando una app para la asignación de funciones o una URI válida de Jamf Unlock, introduce una de las siguientes URI en el campo Login redirect URIs (URI de redirección de Login).
      • Asignación de funciones (macOS)https://127.0.0.1/jamfconnect
      • Autenticación con Jamf Unlock (iOS)jamfunlock://callback/auth
    4. Haz clic en Guardar.
Ahora tu integración de app se puede usar para la creación de funciones de usuario con Jamf Connect o la autenticación en la app Jamf Unlock.
Si quieres determinar si los usuarios se crean con cuentas de administrador local o estándar con Jamf Connect, repite este proceso y después asigna usuarios administradores y estándar a sus respectivas integraciones de apps en Okta.
Nota: Los administradores deben estar asignados a ambas integraciones de apps.
Asegúrate de copiar los siguientes valores para usarlos en tu perfil de configuración de ventana de inicio de sesión de Jamf Connect:

  • El ID de cliente de cada integración de app. Estos valores se usarán para configurar los ajustes correspondientes de ID de cliente de acceso, ID de cliente de administrador e ID de cliente de inicio de sesión secundario.

  • El URI de redirección. Este valor se usará para configurar el ajuste URI de redirección.

Modificación de tipos de concesión

Debes modificar los tipos de concesión permitidos para cada integración de app de Jamf Connect que crees en Okta.

  1. Selecciona la app de Jamf Connect que acabas de crear.
  2. Haz lo siguiente en el panel General:
    1. Selecciona Implícito (Híbrido) en «Allowed Grant Type» (Tipo de concesión permitida).
    2. Selecciona Permitir token de identificación con tipo de concesión implícito y Permitir token de acceso con tipo de concesión implícito.
    3. Haz clic en Guardar.

Repite este proceso para cada integración de app de Jamf Connect.

Activación de la autenticación multifactor

Si quieres activar la autenticación multifactor (MFA) para los usuarios, debes activar MFA a nivel de organización, en lugar de hacerlo a nivel de app. Para activar MFA, accede a Security (Seguridad) > Authentication (Autenticación) > Sign On (Iniciar sesión) en el Okta Admin Dashboard. A continuación, crea una nueva política de «Sign On» (Iniciar sesión).

Declinación de responsabilidades:

Jamf Connect puede permitir a los usuarios que tienen el mismo nombre de usuario y contraseña iniciar sesión en la cuenta local incorrecta. Para asegurarse de que los usuarios solo puedan iniciar sesión en su cuenta, se recomienda emplear un método de autenticación multifactor (MFA). Jamf no acepta ninguna responsabilidad u obligación por daños o vulnerabilidades explotadas debido al aprovisionamiento de credenciales de cuenta idénticas.

Nota:

No se recomienda activar MFA a nivel de app. Esto puede provocar errores en Jamf Connect.