Seguridad
La gestión de contraseñas y certificados es un elemento fundamental de la funcionalidad de Jamf Connect. Jamf Connect utiliza tecnologías basadas en estándares para conectar con Active Directory o inicio de sesión único (SSO). Estas interacciones se completan con Kerberos, LDAP y conexiones de sesiones de URL seguras con tu proveedor de identidades (IdP) de nube. Jamf Connect usa las versiones de estas herramientas incluidas con macOS.
Si quieres conocer mejor estas interacciones y asegurarte de que tu información está protegida, repasa todas las medidas de seguridad de Jamf Connect.
Declinación de responsabilidades:
Jamf Connect puede permitir a los usuarios que tienen el mismo nombre de usuario y contraseña iniciar sesión en la cuenta local incorrecta. Para asegurarse de que los usuarios solo puedan iniciar sesión en su cuenta, se recomienda emplear un método de autenticación multifactor (MFA). Jamf no acepta ninguna responsabilidad u obligación por daños o vulnerabilidades explotadas debido al aprovisionamiento de credenciales de cuenta idénticas.
Contraseñas
Cuando un usuario inicia sesión con Jamf Connect, su contraseña se introduce en un campo de texto seguro y nunca se escribe en un disco fuera del llavero de macOS.
Cuando se utiliza Kerberos, la contraseña se utiliza con la llamada a la API gss_aapl_initial_cred(), que autentica al usuario y obtiene un ticket de acceso (TGT). Al cambiar de contraseña, se sigue el mismo proceso empleando la llamada a la API gss_aapl_change_password(). Ambas llamadas a API usan la implementación de Apple de Heimdal Kerberos.
Todas las acciones de Kerberos se realizan con las API de Apple. La contraseña nunca se almacena en caché con un «kinit» u otras herramientas de interfaz de línea de comandos (CLI) de Kerberos.
Cuando se integra con Okta como proveedor de identidades (IdP), Jamf Connect usa la API Authentication de Okta. Si quieres más información sobre la API Authentication de Okta, consulta la documentación para desarrolladores Authentication API (API Authentication) de Okta.
Cuando se integra con otros IdP, Jamf Connect usa el protocolo de autenticación OpenID Connect (OIDC) para comunicarse con el IdP.
Todas las conexiones de red se realizan con la API de carga de URL de macOS URLSession. Todas las comunicaciones se protegen con TLS para garantizar que no se corrompen.
Cuando se activa la autenticación de paso a través con la ventana de inicio de sesión, las contraseñas de usuario introducidas en la vista web de la ventana de inicio de sesión se escriben temporalmente en la memoria y se usan para iniciar sesión o crear una cuenta local en ordenadores. Cuando Jamf Connect ya no necesita la contraseña del usuario, el valor se sobrescribe inmediatamente como nil y se desasigna de la memoria.
Si quieres más información sobre OpenID Connect, consulta la siguiente documentación de preguntas frecuentes de la OpenID Foundation.
Uso del llavero
Si recibe instrucciones al respecto, Jamf Connect almacena la contraseña del usuario en el llavero local usando SecKeychainAddGenericPassword()y otras llamadas a la API SecKeychain. La contraseña se almacena en el llavero por omisión del usuario.
Si se almacena una contraseña en el llavero del usuario y se activa Kerberos, Jamf Connect usará esa contraseña en el lanzamiento. Si la contraseña no puede autenticar al usuario, Jamf Connect elimina la contraseña del llavero para evitar bloqueos. A continuación, se pide al usuario que vuelva a introducir una contraseña válida.
Seguridad de Active Directory
Jamf Connect no requiere modificar ningún ajuste de seguridad en Active Directory. Jamf Connect solo usa enlaces autenticados SASL al interactuar con Active Directory. Por omisión, Jamf Connect usa el ticket Kerberos del usuario para encriptar el tráfico LDAP con Active Directory. Jamf Connect se puede configurar para usar SSL además de conexiones LDAP con Active Directory.
Certificados
Jamf Connect no envía secretos del usuario a ningún servicio. La clave privada que genera tu solicitud de firma de certificado (CSR) nunca sale del llavero. El proceso se completa únicamente en Jamf Connect usando llamadas a las API SecKeychain y SecCertificate facilitadas por Apple.
Las claves privadas se marcan como no exportables por omisión, pero puedes usar una clave de preferencias para cambiar este ajuste.
Al enviar la CSR a una autoridad certificadora (CA) de Windows, se usa autenticación Kerberos, y la CSR se envía por SSL. La clave pública firmada resultante se recupera usando Kerberos y SSL, y después se coteja con la clave privada en el llavero.
Conexiones de red
Jamf Connect no busca conexiones entrantes. Todas las comunicaciones desde Jamf Connect son de salida y usan el máximo nivel disponible de seguridad de transporte.
Espacio de usuario
Ten en cuenta lo siguiente:
Jamf Connect se ejecuta en el espacio del usuario, y no como root. Por lo tanto, no tiene más privilegios que el usuario que ha iniciado sesión.
La funcionalidad de Jamf Connect es la misma para administradores y usuarios estándar de macOS.