Authentification par signature unique

Vous pouvez intégrer un fournisseur d’identité (IdP) tiers pour activer l’authentification par signature unique (SSO) pour certaines parties de Jamf Pro. Lorsque l’authentification SSO est configurée et activée, les utilisateurs sont automatiquement redirigés vers la page d’ouverture de session du fournisseur d’identité de votre organisation. Après leur authentification, les utilisateurs peuvent accéder à la ressource à laquelle ils tentaient d’accéder.

Il est possible d’activer l’authentification SSO avec Jamf Pro pour les éléments suivants :

  • Serveur Jamf Pro – Par défaut, chaque fois qu’un utilisateur non authentifié tente d’accéder au serveur Jamf Pro, il est redirigé vers la page de connexion du fournisseur d’identité, sauf si la case Autoriser les utilisateurs à ignorer l’authentification par signature unique est cochée dans les réglages de l’authentification par signature unique de Jamf Pro.

  • Enrôlement par l’utilisateur (iOS et macOS) – Pour terminer l’enrôlement par l’utilisateur, les utilisateurs doivent s’authentifier auprès d’un fournisseur d’identité. Lors d’une mise à jour de l’inventaire, le nom d’utilisateur saisi pendant l’authentification SSO sera utilisé par Jamf Pro pour remplir le champ Nom d’utilisateur dans la catégorie Utilisateur et emplacement.

  • Jamf Self Service pour macOS – Les utilisateurs doivent s’authentifier auprès d’un fournisseur d’identité pour accéder à Self Service. Le nom d’utilisateur saisi pendant l’authentification SSO sera utilisé par Jamf Pro pour les calculs du périmètre. Self Service peut accéder à tous les noms d’utilisateurs existants à partir du fournisseur d’identité.

Remarques :

  • Il est recommandé d’utiliser les points terminaux SSL (HTTPS) et la liaison POST pour la transmission du protocole SAML.

  • Lors de la configuration des réglages de votre fournisseur d’identité, il est recommandé d’utiliser des signatures SHA-256 ou supérieures pour les assertions SAML.

Authentification par signature unique et LDAP

Si LDAP est également intégré à Jamf Pro, retenez les points suivants lors de la configuration de l’authentification SSO :

  • Si vous utilisez des utilisateurs ou des groupes LDAP pour l’authentification par signature unique, ils doivent d’abord être ajoutés comme utilisateurs ou groupes Jamf Pro standard dans les réglages Groupes et comptes utilisateur Jamf Pro.

  • Si LDAP est intégré à Jamf Pro, les limitations et exclusions LDAP peuvent être utilisées. Elles seront calculées en faisant correspondre le nom d'utilisateur entré dans le fournisseur d’identité lors de la connexion de l'utilisateur Self Service au nom d'utilisateur LDAP.

  • Si LDAP n'est pas intégré à Jamf Pro, les cibles et exclusions pour un nom d'utilisateur seront calculées en faisant correspondre le nom d'utilisateur entré dans le fournisseur d’identité lors de la connexion de l’utilisateur Self Service aux comptes et groupes d'utilisateurs Jamf Pro.

Déconnexion unique

Lors de l’enrôlement, Jamf Pro utilise la déconnexion unique SAML Single Logout (SLO) initiée par le fournisseur d’identité pour s’assurer que les utilisateurs peuvent terminer toutes les sessions démarrées avec Jamf Pro et le fournisseur d’identité. Lorsque l’utilisateur termine le processus d’enrôlement, un bouton Fermeture de session s’affiche. Utilisez le volet Message des réglages Enrôlement par l’utilisateur pour personnaliser le texte affiché lors de l'enrôlement.

La déconnexion SLO n’est pas disponible dans les scénarios suivants :

  • Votre fournisseur d’identité ne fournit pas de points terminaux SLO dans les métadonnées.

  • Un certificat de signature Jamf Pro n’est pas configuré.

Lorsque la déconnexion SLO n’est pas disponible, un message indiquant que la session du fournisseur d’identité est peut-être encore active s’affiche. Ceci est important pour les administrateurs Jamf Pro qui ne peuvent pas se déconnecter complètement après avoir effectué le processus d’enrôlement pour les autres utilisateurs.

Remarque : Pour prendre en charge des configurations de fournisseur d’identité non courantes, la liaison GET (moins sécurisée que POST) peut être utilisée pour la déconnexion unique SAML.

Réglages de configuration du fournisseur d’identité

Pour implémenter l’authentification par signature unique (SSO) avec Jamf Pro, vous devez configurer les réglages dans la console d’administration de votre fournisseur d’identité, dans votre portail ou dans un outil similaire. En général, la configuration des réglages doit être terminée dans un fournisseur d’identité avant d’activer l’authentification SSO dans Jamf Pro et certains fournisseurs proposent des réglages SSO préconfigurés spécifiques à Jamf Pro.

Important : Selon votre fournisseur d’identité, la SSO peut nécessiter une configuration simultanée dans votre fournisseur d’identité et dans Jamf Pro pour s’assurer du bon mappage de certains réglages. Des réglages ou des étapes supplémentaires peuvent également être requis.

Pour connaître les instructions spécifiques à votre fournisseur d’identité pour la configuration de la SSO, consultez les articles suivants de la Base de connaissances :

Pour obtenir des informations sur la configuration de l’authentification SSO avec Azure AD , consultez la documentation Microsoft suivante : https://docs.microsoft.com/azure/active-directory/saas-apps/jamfprosamlconnector-tutorial.

Activation de l’authentification par signature unique dans Jamf Pro

Exigences

Pour activer l’authentification par signature unique (SSO) dans Jamf Pro, vous avez besoin des éléments suivants :

  • D’une intégration à un fournisseur d’identité (IdP) prenant en charge les protocoles SAML 2.0

  • Des comptes d’utilisateurs ou des groupes Jamf Pro correspondant aux noms d’utilisateurs ou aux groupes du fournisseur d’identité

  • De privilèges d'administrateur pour Jamf Pro et votre fournisseur d'identité

Procédure

Remarque : L’activation de l’authentification SSO pour les services et les apps Jamf Pro empêche les utilisateurs de s’authentifier avec tous les autres identifiants d’utilisateurs.

  1. Connectez-vous à Jamf Pro.

  2. Dans l’angle supérieur droit de la page, cliquez sur Réglages images/download/thumbnails/81531741/Icon_Settings_Hover.png .

  3. Cliquez sur Réglages système.

  4. Cliquez sur Authentification par signature unique.

  5. Cliquez sur Modifier images/download/thumbnails/81532686/edit.png .

  6. Cochez la case Activer l’authentification par signature unique.

    Remarque : Copiez l’URL de connexion de basculement et enregistrez-la dans un emplacement sécurisé.

  7. Choisissez votre fournisseur d’identité dans le menu contextuel Fournisseur d’identité. Si votre fournisseur d’identité n’est pas disponible dans le menu contextuel, choisissez « Autre ».

  8. Le champ Identifiant de l’entité est prérempli par défaut (par ex., « https://instancename.jamfcloud.com/saml/metadata ») dans Jamf Pro.

    Remarque : En général, cette valeur correspond à la valeur URI Public dans les réglages de configuration de votre fournisseur d’identité.

  9. Choisissez « URL de métadonnées » ou « Fichier de métadonnées » dans le menu contextuel Source des métadonnées du fournisseur d’identité. Cette valeur est obtenue à partir des réglages de configuration de votre fournisseur d’identité.

  10. Saisissez une valeur en minutes dans le champ Expiration du jeton. Cette valeur, préremplie selon votre fournisseur d’identité, détermine le délai avant l’expiration du jeton SAML.

    Important : Assurez-vous que cette valeur corresponde aux réglages d’expiration du jeton configurés dans votre fournisseur d’identité.

  11. Configurer les réglages du mappage des utilisateurs :

    1. Sélectionnez l’attribut du jeton SAML à mapper aux utilisateurs Jamf Pro. NameID est sélectionné par défaut. Si vous sélectionnez Attribut personnalisé, définissez un attribut personnalisé inclus dans le jeton SAML envoyé depuis votre fournisseur d’identité.

      Remarque : Pour terminer l’échange d’informations entre Jamf Pro et le fournisseur d’identité, le jeton SAML envoyé par le fournisseur d’identité doit contenir l’attribut NameID pour les deux options.

    2. Sélectionnez Nom d’utilisateur ou E-mail pour déterminer comment mapper les utilisateurs de votre fournisseur d’identité à ceux de Jamf Pro. P ar défaut, Jamf Pro obtient des informations sur l’utilisateur auprès du fournisseur d’identité et les compare aux comptes utilisateur Jamf Pro existants. Si le compte utilisateur entrant n'existe pas dans Jamf Pro, un mappage du nom de groupe a lieu.

    3. Saisissez l’attribut du jeton SAML qui définit les utilisateurs du fournisseur d’identité dans le champ Nom de l’attribut de groupe du fournisseur d’identité. Jamf Pro mappe chaque groupe de la base de données Jamf Pro et compare les noms de groupes. Les utilisateurs se verront accorder des privilèges d'accès à tous les groupes de la même manière qu'un utilisateur Jamf Pro local. Les chaînes AttributeValue peuvent se présenter sous la forme de plusieurs chaînes ou d’une seule chaîne de valeurs séparées par des points-virgules.

      Exemple: http://schemas.xmlsoap.org/claims/Group

    4. (Optionnel) Utilisez l’option Clé RDN pour le groupe LDAP pour extraire le nom du groupe des chaînes envoyées au format LDAP, Nom distinctif (DN). Jamf Pro recherchera dans la chaîne entrante un nom distinctif relatif (RDN) avec la clé spécifiée et utilisera la valeur de la clé RDN comme le véritable nom du groupe.

      Remarque : Si la chaîne du service d'annuaire LDAP contient plusieurs parties RDN avec la même clé (CN=Administrateurs, CN=Utilisateurs, O=VotreOrganisation), Jamf Pro extrait les noms de groupes de la clé RDN la plus à gauche (CN=Administrateurs). Si le champ Clé RDN pour le groupe LDAP est laissé vide, Jamf Pro utilisera toute la chaîne au format LDAP.

  12. (Recommandé) Choisissez une option dans le menu Certificat de signature Jamf Pro pour sécuriser la communication SAML à l’aide d’une signature numérique. Si vous uploadez le certificat de signature Jamf Pro, uploadez un keystore du certificat de signature (.jks ou .p12) à l’aide d’une clé privée pour signer et chiffrer les jetons SAML, saisissez le mot de passe dans le fichier KeyStore, sélectionnez un alias de clé privée, puis saisissez le mot de passe pour cette clé.

  13. Configurez une ou plusieurs des options de SSO suivantes pour Jamf Pro :

    • Sélectionnez Autoriser les utilisateurs à ignorer l’authentification par signature unique pour permettre aux utilisateurs de se connecter à Jamf Pro sans authentification SSO s’ils accèdent directement à l’URL de Jamf Pro. Lorsqu’un utilisateur tente d’accéder à Jamf Pro via votre fournisseur d’identité, cette opération déclenche toujours l’authentification et l’autorisation SSO.

    • Sélectionnez Activer l’authentification par signature unique pour Self Service pour macOS pour permettre aux utilisateurs de se connecter à Self Service via la page d’ouverture de session du fournisseur d’identité. Self Service peut accéder à tous les noms d’utilisateurs existants à partir du fournisseur d’identité.

      Remarques :

      • Si cette option est sélectionnée, les réglages de connexion de Self Service pour macOS changeront automatiquement les réglages de connexion de l’utilisateur de Self Service à utiliser pour l’authentification par signature unique.

      • La désactivation de l’authentification par signature unique pour Self Service définit automatiquement les réglages Connexion de l'utilisateur de Self Service sur « Autoriser les utilisateurs à se connecter pour voir les éléments disponibles en utilisant un compte LDAP ou un compte utilisateur Jamf Pro ».

    • Sélectionnez Activer l’authentification par signature unique pour l’enrôlement par l’utilisateur pour permettre aux utilisateurs d’enrôler leur appareil avec Jamf Pro via la page d’ouverture de session du fournisseur d’identité. Si cette option est activée, le nom d’utilisateur affiché sur la page d’ouverture de session du fournisseur d’identité sera le nom d’utilisateur saisi par Jamf Pro dans le champ Nom d’utilisateur de la catégorie Utilisateur et emplacement lors de la mise à jour de l’inventaire d’un ordinateur ou d’un appareil mobile. Vous pouvez autoriser l’accès à tous les utilisateurs du fournisseur d’identité ou limiter l’accès à un groupe restreint d’utilisateurs.

      Remarques :

      • Si LDAP est intégré à Jamf Pro, les informations sur l’utilisateur et l’emplacement seront entièrement remplies à l’aide d’une recherche de Jamf Pro à LDAP.

      • Si LDAP n'est pas intégré à Jamf Pro, le champ Nom d'utilisateur sera le seul élément rempli dans la catégorie Utilisateur et emplacement. La recherche d'utilisateur ne fonctionnera pas pendant l'enrôlement.

  14. Cliquez sur Enregistrer images/download/thumbnails/81531754/floppy-disk.png .

  15. (Optionnel) Téléchargez le fichier de métadonnées Jamf Pro.

Les utilisateurs seront désormais redirigés automatiquement vers la page d’ouverture de session du fournisseur d’identité de votre organisation pour accéder aux parties configurées de Jamf Pro.

Pour tester les réglages de l’authentification SSO, déconnectez-vous de Jamf Pro et de votre fournisseur d’identité, puis accédez à votre URL de Jamf Pro dans un navigateur web. Après l’authentification, la page d’ouverture de session de votre fournisseur d’identité doit s’afficher et vous rediriger vers le tableau de bord Jamf Pro.

Pour résoudre les erreurs courantes que les utilisateurs peuvent rencontrer lors de l’utilisation de l’authentification SSO, consultez l’article de la Base de connaissances Troubleshooting Single Sign-On in Jamf Pro (Dépannage de l’authentification par signature unique dans Jamf Pro).

Informations connexes

Pour des informations connexes, consultez les sections suivantes de ce guide :

Copyright     Politique de confidentialité     Conditions générales     Sécurité
© copyright 2002-2020 Jamf. Tous droits réservés.