Synchronisation du mot de passe avec Jamf Connect

Jamf Connect peut synchroniser les mots de passe local et réseau d’un utilisateur. Lorsque Jamf Connect est configuré avec les réglages minimaux d’authentification de votre fournisseur d’identité (IdP) cloud, Jamf Connect effectuera par défaut les opérations suivantes :

  • Vérification du mot de passe en continu

    Toutes les 60 minutes, la synchronisation des mots de passe utilisateur réseau et local est vérifiée.

  • Synchronisation des mots de passe

    Invite un utilisateur à changer son mot de passe local si celui-ci ne correspond pas au mot de passe réseau.

  • Gérer les modifications du mot de passe réseau

    Facilite le changement du mot de passe réseau lorsque celui-ci expire. Pour appliquer le changement, Jamf Connect ouvre une vue Web de l’URL de changement de mot de passe de votre IdP cloud. Si Kerberos est utilisé, le changement de mot de passe est effectué directement dans l’interface utilisateur de Jamf Connect.

  • Avertissements d’expiration du mot de passeJamf Connect peut afficher le nombre de jours avant l’expiration d’un mot de passe dans la barre de menus. Si les notifications sont autorisées, il peut également envoyer une notification à l’utilisateur final lorsqu’un mot de passe n’est pas synchronisé.
Remarque :

Pour plus d’informations sur les URL de modification et de réinitialisation des mots de passe par défaut et recommandées, voir les préférences URL de changement du mot de passe (ChangePasswordURL) et URL de réinitialisation du mot de passe (ResetPasswordURL) dans les Réglages d’authentification dans la barre de menus.

Gardez les points suivants à l’esprit lorsque vous utilisez l’état de Jamf Connect pour synchroniser les mots de passe :
  • Jamf Connect ne peut pas afficher les notifications, à moins que l’utilisateur ne les autorise dans Préférences système > Notifications. Les administrateurs Mac peuvent également autoriser les notifications de Jamf Connect grâce à un profil de notifications. Si vous utilisez Jamf Pro, vous pouvez activer les notifications à distance en accédant à Jamf Pro > Réglages > Gestion des ordinateurs > Sécurité et en configurant l’option Installer automatiquement un profil de notifications Jamf

  • Si le mot de passe d’un compte réseau est modifié sans passer par Jamf Connect (par exemple, via la page Web de l’IdP de votre organisation pour les changements de mots de passe), le mot de passe réseau précédemment utilisé restera le mot de passe local jusqu’à ce que Jamf Connect se connecte (par défaut toutes les 60 minutes) et invite l’utilisateur à mettre à jour son mot de passe.

  • Les utilisateurs doivent connaître leurs anciens mots de passe pour pouvoir synchroniser les mots de passe. Si un utilisateur met à jour son mot de passe sans passer par Jamf Connect et ne se rappelle pas de son ancien mot de passe (ancien mot de passe réseau), connectez-vous en tant qu’administrateur et consultez l’article Modifier ou réinitialiser le mot de passe d’un compte utilisateur macOS issu du site Web d’assistance Apple's.

  • L’app Jamf Connect utilisera automatiquement la règle de mot de passe de votre IdP cloud ou d’Active Directory, si elle la détecte. Si vous configurez le réglage Règle de mot de passe (PolicyRequirements) dans Jamf Connect ou des restrictions de code avec votre solution MDM, vous devez vous assurer que la règle configurée correspond à la règle de mot de passe de l’IdP de votre organisation, ou qu’elle est moins restrictive que cette dernière pour éviter les erreurs de changements de mot de passe.
    Avertissement :

    Pour éviter d’empêcher les utilisateurs d’accéder à leur ordinateur en raison de règles de mot de passe contradictoires, n’appliquez pas le réglage Modifier à la prochaine authentification (macOS 10.13 ou version ultérieure) (changeAtNextAuth) disponible dans l’entité Code via une solution MDM. Autorisez plutôt la règle de mot de passe de votre IdP à laisser expirer les mots de passe des utilisateurs, et utilisez Jamf Connect pour gérer les modifications de mot de passe.

Pour exécuter la synchronisation des mots de passe dans la fenêtre d’ouverture de session pendant la création d’un compte, vous devez configurer des réglages Jamf Connect supplémentaires. Pour plus d’informations sur la synchronisation des mots de passe dans la fenêtre d’ouverture de session, consultez Création du mot de passe local initial.

Synchronisation des mots de passe avec Google

Pour synchroniser les mots de passe du Mac d’un utilisateur et de son compte Google, Jamf Connect utilise le service LDAP sécurisé de Google.

Une fois l’utilisateur authentifié dans la barre de menus de l’app Jamf Connect, Jamf Connect utilise le nom d’utilisateur et le mot de passe réseau pour tenter de s’authentifier auprès du serveur LDAP. En cas d’échec de l’authentification, les utilisateurs sont invités à synchroniser les mots de passe.

Pour établir une connexion sécurisée entre l’ordinateur et le domaine du serveur LDAP de votre organisation, un certificat LDAP doit être installé dans le trousseau système de l’ordinateur. Ce certificat doit être téléchargé depuis un client LDAP dans votre console d’administration Google, puis converti au format .p12.

Remarque : L’authentification Google via la barre de menus de l’app Jamf Connect ne requiert aucune intégration d’app OpenID Connect.

Configuration de la barre de menus de l’app pour Google Cloud Identity

Vous pouvez configurer la barre de menus de l’app Jamf Connect avec l’entité App et réglages personnalisés dans Jamf Pro ou dans l’app Jamf Connect Configuration.

Dans le dictionnaire IdPSettings, définissez le réglage Fournisseur d’identité (Provider) sur GoogleID, comme le montre l’exemple suivant :

<key>IdPSettings</key>
<dict>
    <key>Provider</key>
    <string>GoogleID</string>
</dict>