Intégration à Okta

Étant donné que Jamf Connect authentifie les utilisateurs Okta directement sur votre domaine à l’aide de l’API d’authentification Okta, vous n’avez pas besoin d’effectuer de tâches supplémentaires dans la console d’administration Okta pour activer l’authentification et la synchronisation des mots de passe. Les intégrations d’app OpenID Connect sont uniquement requises pour les actions suivantes :

  • Configuration de l’affectation des rôles locaux

    Vous pouvez définir si les utilisateurs créés avec Jamf Connect reçoivent des comptes standard ou administrateurs locaux en créant différentes intégrations d’app dans Okta pour les utilisateurs standard et les administrateurs. Vous pouvez ensuite attribuer des utilisateurs à chaque app dans Okta et Jamf Connect utiliser les attributions d’apps de l’utilisateur pour créer le type de compte local adapté.

  • Déploiement de Jamf UnlockL’app Jamf Unlock n’utilise que le protocole d’authentification OpenID Connect pour authentifier les utilisateurs au cours du processus de jumelage.

Pour déterminer si les utilisateurs créés avec Jamf Connect reçoivent des comptes standard ou locaux, vous pouvez créer des intégrations d’app dans Okta pour les utilisateurs standard et les administrateurs, puis affecter les utilisateurs aux apps selon les besoins. Jamf Connect utilisera ensuite l’app à laquelle un utilisateur est affecté pour créer le compte local approprié.

  1. Connectez-vous à la console d’administration Okta.
  2. Cliquez sur Applications.
  3. Cliquez sur Add Application (Ajouter une application), puis sur Create New App (Créer une application).
  4. Procédez comme suit dans la fenêtre Create a New Application Integration (Créer une intégration d’application) :
    1. Sélectionnez Native App (App native) dans le menu déroulant Platform (Plate-forme).
    2. Sélectionnez Connexion.
    3. Cliquez sur Créer.
  5. (Optionnel) Procédez comme suit dans la page Create OpenID Connect Integration (Créer une intégration OpenID Connect) :
    1. Entrez un nom pour votre application, par exemple Jamf Connect, dans le champ Application name (Nom d’application).
    2. Uploadez un logo pour l’application.
    3. Selon que vous configurez une app pour l’affectation des rôles ou un URI Jamf Unlock valide, saisissez l’un des URI suivants dans le champ Login redirect URIs (URI de redirection d’ouverture de session).
      • Affectation des rôles (macOS)https://127.0.0.1/jamfconnect
      • Authentification avec Jamf Unlock (iOS)jamfunlock://callback/auth
    4. Cliquez sur Save (Enregistrer) .
L’intégration de votre app peut désormais être utilisée pour la création d’un rôle utilisateur avec Jamf Connect ou l’authentification dans l’app Jamf Unlock.
Pour déterminer si les utilisateurs créés avec Jamf Connect reçoivent des comptes standard ou administrateurs locaux, répétez cette procédure, puis affectez les utilisateurs administrateurs et standard à leur intégration d’app Okta respective.
Remarque : Les administrateurs doivent être affectés aux deux intégrations d’app.
Assurez-vous de copier les valeurs suivantes à utiliser dans votre profil de configuration de la fenêtre d’ouverture de session Jamf Connect :

  • Identifiant client de chaque intégration d’app. Cette valeur sera utilisée pour configurer les réglages Identifiant client d’accès, Identifiant client de l’administrateur et Identifiant client de connexion secondaire correspondants.

  • URI de redirection. Cette valeur sera utilisée pour configurer le réglage URI de redirection.

Modifier les types d’autorisations

Vous devez modifier les types d’autorisation octroyés pour chaque intégration d’app Jamf Connect que vous créez dans Okta.

  1. Sélectionnez l’app Jamf Connect que vous venez de créer.
  2. Procédez comme suit dans le volet General (Général) :
    1. Sélectionnez Implicit (Hybrid) (Implicite (hybride)) sous Allowed Grant Type (Type d’autorisation autorisé)
    2. Sélectionnez Allow ID Token with implicit grant type (Autoriser un jeton d’identification avec un type d’autorisation implicite) et Allow Access Token with implicit grant type (Autoriser un jeton d’accès avec un type d’autorisation implicite).
    3. Cliquez sur Save (Enregistrer).

Répétez cette procédure d’intégration d’app pour Jamf Connect.

Activation de l’authentification multifacteur

Si vous voulez activer l’authentification multifacteur (MFA) pour les utilisateurs, vous devez activer MFA au niveau de l’organisation plutôt qu’au niveau de l’application. Pour activer MFA, accédez à Security (Sécurité) > Authentication (Authentification) > Sign On (Se connecter) dans le tableau de bord Okta Admin, puis créez une stratégie de connexion.

Limitation de responsabilité :

Il arrive que Jamf Connect permette aux utilisateurs ayant le même nom d’utilisateur et le même mot de passe de se connecter au compte local incorrect. Afin de garantir que les utilisateurs ne puissent se connecter qu’à leur compte, il est recommandé d’utiliser une méthode d’authentification multifacteur (MFA). Jamf ne pourra être tenu pour responsable en cas de dommages ou de failles de sécurité dus à des identifiants de compte identiques

Remarque :

L’activation de l’authentification multifacteur (MFA) au niveau de l’application n’est pas recommandée et peut entraîner des erreurs dans Jamf Connect.