Réglages d’authentification

Vous devez configurer et déployer les réglages d’authentification via le profil de configuration d’un ordinateur. Ces réglages permettent à Jamf Connect d’authentifier l’utilisateur dans la fenêtre d’ouverture de session et dans la barre de menus d’app. Ils permettent également d’établir la connexion entre les comptes utilisateur locaux sur Mac et les fournisseurs d’identité cloud (IdP).

Gardez les points suivants à l’esprit lorsque vous configurez les réglages d’authentification avec Jamf Connect :

  • Les réglages d’authentification pour la barre de menus d’app Jamf Connect sont contenus dans la classe de dictionnaire IdPSettings.

  • Si vous utilisez dans votre environnement à la fois la barre de menus et la fenêtre d’ouverture de session, il est recommandé de configurer Jamf Connect pour créer un mot de passe initial en utilisant le compte réseau d’un utilisateur. Cela garantit que les utilisateurs ne sont pas invités à changer leur mot de passe immédiatement après la création du compte. Pour plus d’informations, consultez Création du mot de passe local initial.

  • Les réglages minimaux d’authentification varient en fonction de votre IdP cloud et de votre environnement.

Réglages minimaux d’authentification en fonction du fournisseur d’identité (IdP)

La liste suivante énumère les réglages d’authentification minimum nécessaires pour utiliser Jamf Connect avec chaque fournisseur d’identité pris en charge.

Fournisseur d’identité

Fenêtre d’ouverture de session

Barre de menus d’app

Azure AD

  • Fournisseur d’identité
  • Identifiant client
  • Fournisseur d’identité
  • Identifiant client

Google Cloud ID

  • Fournisseur d’identité
  • Identifiant client
  • Secret du client

Pas de prise en charge

IBM Security Verify

  • Fournisseur d’identité
  • Identifiant client
  • Code du locataire
  • Fournisseur d’identité
  • Identifiant client
  • Code du locataire

Okta

  • Fournisseur d’identité
  • Serveur d’authentification
  • Fournisseur d’identité
  • Serveur d’authentification

OneLogin

  • Fournisseur d’identité
  • Identifiant client
  • Code du locataire
  • Codes de succès (si l’authentification multifacteur [MFA] est activée)
  • Fournisseur d’identité
  • Identifiant client
  • Code du locataire
  • Codes de succès (si l’authentification multifacteur [MFA] est activée)

PingFederate

  • Fournisseur d’identité
  • Identifiant client
  • URL de découverte
  • Fournisseur d’identité
  • Identifiant client
  • URL de découverte

Personnalisé

  • Fournisseur d’identité
  • Identifiant client
  • URI de redirection
  • URL de découverte
  • Fournisseur d’identité
  • Identifiant client
  • URL de découverte

Terminaux des URL de découverte pour l’authentification OpenID Connect

Au cours du processus d’authentification OpenID Connect, Jamf Connect utilise le terminal de découverte de votre fournisseur d’identité dans le cloud (IdP). En fonction de votre IdP et des réglages du profil de configuration, Jamf Connect utilise la séquence suivante pour trouver la valeur du terminal de l’URL de découverte :
  1. Une valeur URL de découverte dans un profil de configuration Jamf Connect. Le cas échéant, cette valeur remplacera les valeurs des URL de découverte Jamf Connect pré-configurées pour votre IdP. Cette option est requise pour PingFederate et pour les options d’IdP personnalisées.

  2. Établir automatiquement une URL de découverte à l’aide d’une valeur Identifiant du tenant dans un profil de configuration Jamf Connect. Cette option est requise pour IBM Security Verify et OneLogin.

  3. Utiliser automatiquement une URL de découverte par défaut pré-configurée dans Jamf Connect. Cette option est utilisée dans Azure AD et Google Cloud ID.

Pour vous assurer que l’URL de découverte utilisée pour l’authentification avec Jamf Connect est bien valide, assurez-vous de procéder comme suit :
  • Si vous utilisez un fournisseur d’identité autre que PingFederate, ou une option personnalisée, assurez-vous que les paires clé-valeur des URL de découverte ne sont pas configurées ou correspondent au terminal de découverte documenté par votre IdP.

  • Si vous utilisez Jamf Connect avec Azure AD dans un environnement d’identité hybride ADFS, en plus de vérifier que le réglage URL de découverte (OIDCDiscoveryURL) n’est pas configuré, assurez-vous également que le réglage URL de découverte (identité hybride) ( ROPGDiscoveryURL) utilise votre terminal de découverte ADFS.

Terminaux de découverte du fournisseur d’identité

Le tableau suivant répertorie les URL qui doivent être ajoutées à la liste sûre sur les ordinateurs de votre environnement pour permettre à Jamf Connect de s’authentifier :
Azure AD (plate-forme d’identités Microsoft)
https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration
Remarque :

Si vous avez configuré un Identifiant du tenant, remplacez « common » dans l’URL ci-dessus par votre valeur OIDCTenant.

Azure AD
https://login.microsoftonline.com/common/.well-known/openid-configuration
Remarque :

Si vous avez configuré un Identifiant du tenant, remplacez « common » dans l’URL ci-dessus par votre valeur OIDCTenant.

Google Cloud ID

https://accounts.google.com/.well-known/openid-configuration

IBM Security Verify

https://yourtenant.ice.ibmcloud.com/oidc/endpoint/default/.well-known/openid-configuration

Okta (authentification OpenID Connect)

https://yourtenant.okta.com/.well-known/openid-configuration

OneLogin

https://yourtenant.onelogin.com/oidc/2/.well-known/openid-configuration