Authentification par signature unique

Vous pouvez intégrer un fournisseur d’identité (IdP) tiers pour activer l’authentification par signature unique (SSO) pour certaines parties de Jamf Pro. Lorsque l’authentification SSO est configurée et activée, les utilisateurs sont automatiquement redirigés vers la page d’ouverture de session du fournisseur d’identité de votre organisation. Après leur authentification, les utilisateurs peuvent accéder à la ressource à laquelle ils tentaient d’accéder.

Il est possible d’activer l’authentification SSO avec Jamf Pro pour les éléments suivants :

  • Serveur Jamf Pro

    Par défaut, chaque fois qu’un utilisateur non authentifié tente d’accéder au serveur Jamf Pro, il est redirigé vers la page de connexion du fournisseur d’identité, sauf si la case Autoriser les utilisateurs à ignorer l’authentification par signature unique est cochée dans les réglages de l’authentification par signature unique de Jamf Pro.

  • Enrôlement par l’utilisateur (iOS et macOS)

    Les utilisateurs doivent effectuer leur authentification auprès d’un fournisseur d’identité pour terminer l’enrôlement par l’utilisateur. Lors d’une mise à jour de l’inventaire, le nom d’utilisateur saisi pendant l’authentification SSO sera utilisé par Jamf Pro pour remplir le champ Nom d’utilisateur dans la catégorie Utilisateur et emplacement.

  • Jamf Self Service pour macOS

    Les utilisateurs doivent effectuer leur authentification auprès d’un fournisseur d’identité pour accéder au Self Service. Le nom d’utilisateur saisi pendant l’authentification SSO sera utilisé par Jamf Pro pour les calculs du périmètre. Self Service peut accéder à tous les noms d’utilisateurs existants à partir du fournisseur d’identité.

Remarque :
  • Il est recommandé d’utiliser les terminaux SSL (HTTPS) et la liaison POST pour la transmission du protocole SAML.

  • Lors de la configuration des réglages de votre fournisseur d’identité, il est recommandé d’utiliser une signature SHA-256 ou supérieure pour les assertions SAML.

Authentification par signature unique et LDAP

Si LDAP est également intégré à Jamf Pro, retenez les points suivants lors de la configuration de l’authentification SSO :

  • Si vous utilisez des utilisateurs ou des groupes LDAP pour l’authentification par signature unique, ils doivent d’abord être ajoutés comme utilisateurs ou groupes Jamf Pro standard dans les réglages Groupes et comptes utilisateur Jamf Pro.

  • Si LDAP est intégré à Jamf Pro, les limitations et exclusions LDAP peuvent être utilisées. Elles seront calculées en faisant correspondre le nom d'utilisateur entré dans le fournisseur d’identité lors de la connexion de l'utilisateur Self Service au nom d'utilisateur LDAP.

  • Si LDAP n'est pas intégré à Jamf Pro, les cibles et exclusions pour un nom d'utilisateur seront calculées en faisant correspondre le nom d'utilisateur entré dans le fournisseur d’identité lors de la connexion de l’utilisateur Self Service aux comptes et groupes d'utilisateurs Jamf Pro.

Déconnexion unique

Lors de l’enrôlement, Jamf Pro utilise la déconnexion unique SAML Single Logout (SLO) initiée par le fournisseur d’identité pour s’assurer que les utilisateurs peuvent terminer toutes les sessions démarrées avec Jamf Pro et le fournisseur d’identité. Lorsque l’utilisateur termine le processus d’enrôlement, un bouton Fermeture de session s’affiche. Utilisez le volet Message des réglages Enrôlement par l’utilisateur pour personnaliser le texte affiché lors de l'enrôlement.

La déconnexion SLO n’est pas disponible dans les scénarios suivants :

  • Votre fournisseur d’identité ne fournit pas de points terminaux SLO dans les métadonnées.

  • Un certificat de signature Jamf Pro n’est pas configuré.

Lorsque la déconnexion SLO n’est pas disponible, un message indiquant que la session du fournisseur d’identité est peut-être encore active s’affiche. Ceci est important pour les administrateurs Jamf Pro qui ne peuvent pas se déconnecter complètement après avoir effectué le processus d’enrôlement pour les autres utilisateurs.

Remarque :

Pour prendre en charge des configurations de fournisseur d’identité non courantes, la liaison GET (moins sécurisée que POST) peut être utilisée pour la déconnexion unique SAML.

Activation de l’authentification par signature unique dans Jamf Pro

Pour activer l’authentification par signature unique (SSO), vous devez configurer les réglages à la fois dans la console de votre IdP et dans Jamf Pro.

Vous devez configurer les réglages de votre fournisseur d’identité (IdP) avant d’activer l’authentification par signature unique dans Jamf Pro. Dans certains environnements, une configuration simultanée de votre IdP et de Jamf Pro est requise.

Remarque :

L’activation de l’authentification SSO pour les services et les apps Jamf Pro empêche les utilisateurs d’effectuer leur authentification avec tous les autres identifiants d’utilisateurs. En cas de modification de l’expérience d’authentification dans votre organisation, Jamf vous recommande d’envoyer une notification à tous les utilisateurs.

Exigences
  • D’une intégration à un fournisseur d’identité (IdP) prenant en charge les protocoles SAML 2.0. Pour plus d’informations, reportez-vous à la section suivante :

  • Des comptes d’utilisateurs ou des groupes Jamf Pro correspondant aux noms d’utilisateurs ou aux groupes du fournisseur d’identité

  • De privilèges d’administrateur pour Jamf Pro et votre fournisseur d’identité

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Réglages système, cliquez sur Authentification par signature unique .
  3. Cliquez sur Modifier .
  4. Utilisez le commutateur Activer l’authentification par signature unique pour autoriser la configuration.
    Remarque :

    Dans la fenêtre URL de connexion de basculement, cliquez sur Copier dans le presse-papiers, puis enregistrez l’URL de connexion de basculement dans un emplacement sécurisé. Cette URL vous permet de vous connecter à l’aide de vos identifiants Jamf Pro une fois l’authentification SSO configurée et activée.

  5. Choisissez votre fournisseur d’identité dans le menu contextuel Fournisseur d’identité.

    Si votre fournisseur d’identité ne se trouve pas dans la liste, sélectionnez Autre et saisissez son nom dans le champ Autre fournisseur. Le champ Identifiant de l’entité est prérempli par défaut (par exemple, « https://JAMF_PRO_URL.jamfcloud.com/saml/metadata »).

    Remarque :

    En général, la valeur Identifiant de l’entité correspond à la valeur URI Public dans les réglages de configuration de votre fournisseur d’identité.

  6. Cliquez sur une option pour configurer le réglage Source des métadonnées du fournisseur d’identité :
    • Fichier de métadonnéesCela vous permet de téléverser un fichier de métadonnées au format .xml.
    • URL de métadonnéesVous devez obtenir cette URL dans les réglages de configuration de votre fournisseur d’identité (par exemple, « URI Public » ou « Restrictions Public »).
  7. (Optionnel) Activez le réglage Remplacement de l’heure d’expiration du jeton si vous avez besoin de contourner la période d’expiration du jeton par défaut spécifiée par votre fournisseur d’identité.

    Lorsque cette option est activée, la valeur en minutes détermine le délai avant l’expiration du jeton SAML. Le champ est prérempli avec la valeur par défaut déterminée par le fournisseur d’identité sélectionné. Si vous remplacez la valeur par défaut, vous devez vous assurer que la nouvelle valeur correspond aux réglages d’expiration du jeton configurés dans votre fournisseur d’identité.

    Par défaut, le réglage Remplacement de l’heure d’expiration du jeton est défini sur Désactivé. Cela signifie que le délai avant expiration fourni par défaut par votre fournisseur d’identité est utilisé.

    Important :

    Si votre fournisseur d’identité est Azure, Google Workspace ou Okta, les utilisateurs ou utilisateurs finaux de Jamf Pro qui enrôlent des appareils peuvent rencontrer des erreurs de connexion lorsque le réglage Remplacement de l’heure d’expiration du jeton est activé. Pour empêcher ces erreurs, nous vous recommandons de désactiver le réglage Remplacement de l’heure d’expiration du jeton. Jamf Pro arrêtera ainsi de vérifier la durée de vie du jeton, qui est contrôlée et vérifiée par votre fournisseur d’identité. Sinon, vous pouvez vous assurer que le délai d’expiration du jeton défini dans Jamf Pro dépasse le délai d’expiration configuré par votre fournisseur d’identité. Des problèmes peuvent cependant toujours survenir si le délai d’expiration du jeton change de façon dynamique.

  8. Cliquez sur une option pour configurer le réglage Mappage des utilisateurs du fournisseur d’identité afin de définir quel attribut du jeton SAML mapper aux utilisateurs Jamf Pro :
    • NameIDIl s’agit du nom de l’attribut par défaut.
    • Attribut personnaliséVous permet de définir un nom d’attribut personnalisé inclus dans le jeton SAML envoyé depuis votre fournisseur d’identité.
  9. Cliquez sur Nom d’utilisateur ou Courriel pour Mappage des utilisateurs Jamf Pro.

    Ces options déterminent comment mapper les utilisateurs de votre fournisseur d’identité à ceux de Jamf Pro. Par défaut, Jamf Pro obtient des informations sur l’utilisateur auprès du fournisseur d’identité et les compare aux comptes utilisateur Jamf Pro existants. Si le compte utilisateur entrant n’existe pas dans Jamf Pro, un mappage du nom de groupe a lieu.

  10. Saisissez l’attribut d’assertion SAML qui définit les utilisateurs du fournisseur d’identité dans le champ Nom de l’attribut de groupe du fournisseur d’identité.

    Jamf Pro mappe chaque groupe de la base de données Jamf Pro et compare les noms de groupes. Chaque utilisateur se verra accorder des privilèges d’accès à tous les groupes, de la même manière qu’un utilisateur Jamf Pro local. Les chaînes AttributeValue peuvent se présenter sous la forme de plusieurs chaînes, d’une seule chaîne ou de valeurs séparées par des points-virgules.

    Exemple : http://schemas.xmlsoap.org/claims/Group
  11. (Optionnel) Utilisez le champ Clé RDN pour le groupe LDAP pour extraire le nom du groupe des chaînes envoyées au format LDAP, Distinguished Names (DN ou nom distinctif).

    Jamf Pro recherche dans la chaîne entrante un nom distinctif relatif (RDN) avec la clé spécifiée et utilise la valeur de la clé RDN comme le véritable nom du groupe.

    Remarque :

    Si la chaîne du service d’annuaire LDAP contient plusieurs parties RDN avec la même clé (par exemple, CN=Administrateurs, CN=Utilisateurs, O=VotreOrganisation), Jamf Pro extraira les noms de groupes de la clé RDN la plus à gauche (par exemple, CN=Administrateurs). Si vous laissez le champ Clé RDN pour le groupe LDAP vide, Jamf Pro utilisera toute la chaîne au format LDAP.

  12. (Optionnel) Cochez la case Sécurité et cliquez sur une option Certificat de signature Jamf Pro pour établir une communication SAML sécurisée avec un certificat :
    • Générer le certificatCela vous permet de générer un certificat de signature si vous ne disposez pas du vôtre. Cliquez sur Générer pour générer automatiquement un certificat de signature.
    • Téléverser le certificatCela vous permet de téléverser votre propre certificat de signature. Si vous effectuez le téléversement u certificat de signature Jamf Pro, téléversez un keystore du certificat de signature (.jks ou .p12) à l’aide d’une clé privée pour signer et chiffrer les jetons SAML, saisissez le mot de passe dans le fichier keystore, sélectionnez un alias de clé privée, puis saisissez le mot de passe de la clé.
    Remarque :

    Pour certains fournisseurs d’identité, vous devrez peut-être télécharger le certificat et l’inclure dans les réglages de configuration de votre fournisseur d’identité.

  13. (Optionnel) Cliquez sur Options d’authentification par signature unique pour Jamf Pro pour configurer les options supplémentaires suivantes :
    • Autoriser les utilisateurs à ignorer l’authentification par signature unique

      Cela permet aux utilisateurs de se connecter à Jamf Pro sans l’authentification SSO en accédant directement à l’URL de Jamf Pro. Lorsqu’un utilisateur tente d’accéder à Jamf Pro via votre fournisseur d’identité, cette opération déclenche toujours l’autorisation et l’authentification SSO.

    • Activer l’authentification par signature unique pour Self Service sous macOSCela permet aux utilisateurs de se connecter à Self Service via la page d’ouverture de session du fournisseur d’identité. Self Service peut accéder à tous les noms d’utilisateurs existants à partir du fournisseur d’identité.
      Remarque :
      • L’activation de cette option fait passer automatiquement le Type d’authentification dans Réglages > Self Service > macOS > Ouverture de session en Authentification par signature unique.

      • La désactivation de cette option fait passer automatiquement le Type d’authentification dans Réglages > Self Service > macOS > Ouverture de session en Compte LDAP ou compte utilisateur Jamf Pro.

    • Activer l’authentification par signature unique pour l’enrôlement par l’utilisateur

      Cela permet aux utilisateurs de s’enrôler avec Jamf Pro via la page d’ouverture de session du fournisseur d’identité. Si cette option est activée, le nom d’utilisateur affiché sur la page d’ouverture de session du fournisseur d’identité sera le nom d’utilisateur saisi par Jamf Pro dans le champ Nom d’utilisateur de la catégorie Utilisateur et emplacement lors de la mise à jour de l’inventaire d’un ordinateur ou d’un appareil mobile. Vous pouvez cliquer sur Tout utilisateur du fournisseur d’identité pour autoriser l’accès à tous les utilisateurs du fournisseur d’identité ou sur Uniquement ce groupe pour limiter l’accès à un groupe restreint d’utilisateurs.

      Remarque :
      • Si LDAP est intégré à Jamf Pro, les informations sur l’utilisateur et l’emplacement seront entièrement remplies à l’aide d’une recherche de Jamf Pro à LDAP.

      • Si LDAP n’est pas intégré à Jamf Pro, le champ Nom d’utilisateur sera le seul élément rempli dans la catégorie Utilisateur et emplacement. La recherche d’utilisateur ne fonctionnera pas pendant l’enrôlement.

  14. Cliquez sur Enregistrer .
  15. (Optionnel) Cliquez sur Télécharger afin de télécharger le fichier XML des métadonnées de Jamf Pro.
    Certains fournisseurs d’identité ont besoin du fichier de métadonnées pour configurer correctement le protocole SAML. Le fichier contient plusieurs URL importantes pour permettre au fournisseur d’identité de savoir vers où rediriger un utilisateur et comment vérifier les informations fournies à Jamf Pro.
    • EntityDescriptor: jamfproURI/saml/metadata

    • SingleLogoutService: jamfproURI/saml/SingleLogout

    Avec les fournisseurs d’identité qui ne requièrent qu’un minimum de métadonnées, le fichier de métadonnées n’est pas nécessaire. Cela permet une configuration plus rapide, toutes les informations requises étant renseignées automatiquement dans le système.

Les utilisateurs sont désormais redirigés automatiquement vers la page d’ouverture de session du fournisseur d’identité de votre organisation pour accéder aux parties configurées de Jamf Pro.

Test de la configuration d’authentification par signature unique

  1. Déconnectez-vous de Jamf Pro et de votre fournisseur d’identité (IdP).
  2. Accédez à votre URL Jamf Pro depuis un navigateur Web.

    Vous êtes alors redirigé vers la page d’authentification SSO.

  3. Connectez-vous à Jamf Pro en utilisant vos identifiants d’authentification SSO.
Après authentification, la page d’ouverture de session de votre fournisseur d’identité (IdP) devrait vous rediriger vers le tableau de bord Jamf Pro.