Préférences de la fenêtre d’ouverture de session

Cette référence contient toutes les préférences disponibles pour la fenêtre d’ouverture de session Jamf Connect.

Réglages d’authentification de la fenêtre d’ouverture de session

  • Domainecom.jamf.connect.login
  • Description

    Utilisés pour autoriser Jamf Connect à finaliser l’authentification entre votre IdP et les comptes locaux dans la fenêtre d’ouverture de session. Les réglages requis varient selon l’IdP.

Clé

Description

OIDCProvider

Fournisseur d’identité

Spécifie votre fournisseur d’identité dans le cloud Les valeurs suivantes sont prises en charge :

  • Azure
  • IBMCI
  • GoogleID
  • OneLogin
  • Okta
  • PingFederate
  • Personnalisé
<key>OIDCProvider</key>
<string>Azure</string>

AuthServer

Serveur d’authentification

(Okta uniquement) URL du domaine Okta de votre organisation.

<key>AuthServer</key>
<string>votreentreprise.okta.com</string>

OIDCClientID

Identifiant client

ID client de l’app Jamf Connect dans votre fournisseur d’identité utilisé pour authentifier l’utilisateur.

<key>OIDCClientID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCRedirectURI

URI de redirection

URI de redirection utilisé par votre app Jamf Connect dans votre fournisseur d’identité.

Il est recommandé d’utiliser https://127.0.0.1/jamfconnect par défaut, mais il est possible d’utiliser n’importe quelle valeur URI tant que la valeur configurée dans votre fournisseur d’identité correspond à celle de votre profil de configuration Jamf Connect Login.

<key>OIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

OIDCClientSecret

Secret du client

Le secret de client utilisé par Jamf Connect Login et votre fournisseur d’identité.

<key>OIDCClientSecret</key>
<string>insérer-ici-secret-client</string>

OIDCTenant

Code du locataire

Indique le code du locataire de votre organisation, utilisé pour l’authentification.

<key>OIDCTenant</key>
<string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>

OIDCDiscoveryURL

URL de découverte

Le document de métadonnées OpenID de votre fournisseur d’identité qui stocke les informations de configuration OpenID. Cette valeur s’affiche dans le format suivant : « https://domain.url.com/.well-known/openid-configuration »

Remarque :

Cette clé est requise uniquement si la clé Fournisseur d’identité (OIDCProvider) est définie sur Custom ou PingFederate

<key>OIDCDiscoveryURL</key>
<string>https://identity-provider-example-address.com/.well-known/openid-configuration</string>
OIDCUsePassthroughAuth

Utiliser l’authentification directe

(Google uniquement) Envoyez en toute sécurité le mot de passe réseau saisi par un utilisateur dans la vue web de la fenêtre d’ouverture de session à Jamf Connect pour une authentification locale. Cela permet à Jamf Connect de terminer l’authentification réseau et locale sans demander aux utilisateurs de saisir à nouveau leur mot de passe. Lors de la création d’un compte local, cela garantit que le mot de passe réseau est automatiquement utilisé comme mot de passe local. Par défaut, ce réglage est défini sur false.

<key>OIDCUsePassthroughAuth</key>
<false/>
Pour plus d’informations, consultez Authentification directe avec Jamf Connect.

LicenseFile

Fichier de licence

Contenu d’un fichier Jamf Connect license encodé au format de données Base64.

<key>LicenseFile</key>
<string>contenu-licence-codé</string>

Réglages du mot de passe initial

  • Domainecom.jamf.connect.login
  • Description

    Utilisé pour déterminer comment Jamf Connect crée un mot de passe local lors de la création d’un compte, et si le mot de passe local et le mot de passe réseau de l’utilisateur doivent être vérifiés lors de chaque connexion pour s’assurer qu’ils sont bien synchronisés.

Clé

Description

OIDCNewPassword

 

Créer un mot de passe local distinct

Si sa valeur est définie sur true, cette clé invite les utilisateurs à créer un nouveau mot de passe pour leur nouveau compte local.

Si sa valeur est définie sur false, cette clé invite les utilisateurs à ressaisir leur mot de passe réseau, qui devient du même coup le mot de passe de leur compte local. Ceci permet de s’assurer que le réseau et le mot de passe local sont synchronisés pendant la création de l'utilisateur.

Remarque :

Ce réglage est activé par défaut.

<key>OIDCNewPassword</key>
<true/>

OIDCROPGID

Identifiant client (vérification du mot de passe)

ID client de l’application enregistrée dans votre IdP utilisé pour authentifier le mot de passe de l’utilisateur via un workflow ROPG (Resource Owner Password Grant). Cette valeur correspond généralement à la clé de préférence OIDCClientID.

<key>OIDCROPGID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

CreateJamfConnectPassword

Créer un trousseau Jamf Connect

Créer automatiquement un élément de trousseau pour Jamf Connect au cours du processus de création de compte. Cela permet à l’app de la barre de menus Jamf Connect de saisir les identifiants de l’utilisateur dans la fenêtre d’ouverture de session lors de la première ouverture de l’app.

Remarque :

Pour utiliser ce réglage, l’option Créer un mot de passe local distinct (OIDCNewPassword) doit être définie sur false.

<key>CreateJamfConnectPassword</key>
<true/>

ROPGSuccessCodes

Codes de succès de la vérification du mot de passe

Un tableau de chaînes de caractères contenant des codes d’erreur de votre IdP lors d’une vérification de mot de passe ROPG qui doit être interprétée comme réussie par Jamf Connect.

Pour connaître les codes d’erreur possibles à configurer dans votre environnement, consultez la documentation Codes d’erreur d’authentification et d’autorisation Azure AD de Microsoft.

Si vous utilisez OneLogin, définissez cette clé sur « MFA » si vous avez configuré l’authentification multifacteur dans votre environnement.

<key>ROPGSuccessCodes</key>
<array>
<string>AADSTS50012</string>
<string>AADSTS50131</string>
</array>

Réglages de gestion des authentifications locale et réseau

  • Domainecom.jamf.connect.login
  • Description

    Utilisés pour déterminer les restrictions des authentifications locale et réseau.

Clé

Description

DenyLocal

Exiger l’authentification réseau

Détermine si les utilisateurs peuvent contourner l’authentification réseau et utiliser leur identifiant de compte local.

Si cette option est définie sur true, le bouton Ouverture de session locale n’est pas disponible et l’utilisateur doit utiliser l’authentification réseau pour se connecter.

Si cette valeur est définie sur false, le bouton Ouverture de session locale est disponible et les utilisateurs peuvent choisir de s’authentifier localement.

<key>DenyLocal</key>
<false/>

DenyLocalExcluded

Utilisateurs avec les privilèges d’authentification locale

Spécifie les utilisateurs qui peuvent encore s’authentifier localement lorsque la valeur DenyLocal est définie sur true

<key>DenyLocalExcluded</key>
<array>
<string>utilisateur-un</string>
<string>utilisateur-deux</string>
<string>utilisateur-trois</string>
<string>utilisateur-quatre</string>
</array>

LocalFallback

Autoriser le basculement local

Cette clé est utilisée avec DenyLocal pour forcer d’abord l’authentification auprès du fournisseur d’identité, mais retourne ensuite à l’authentification locale si une connexion réseau n’est pas disponible.

<key>LocalFallback</key>
<false/>
OIDCDefaultLocal

Utiliser l’authentification locale par défaut

Lorsque cet attribut est défini sur True, Jamf Connect utilise l’authentification locale par défaut plutôt que l’authentification réseau, ce qui garantit aux utilisateurs de toujours pouvoir se connecter, même sans connexion réseau.

<key>OIDCDefaultLocal</key>
<false/>

Réglages pour la migration des comptes

  • Domainecom.jamf.connect.login
  • Description

    Utilisé pour configurer les connexions de comptes entre les comptes locaux existants et les comptes réseau.

Clé

Description

Migrate

Connecter les comptes locaux existants à un compte réseau

Autoriser la connexion des comptes locaux existants à un compte réseau.

En général, ce réglage est utilisé lorsque vous voulez que le compte local existant d'un utilisateur ait le même nom d'utilisateur et le même mot de passe que le compte réseau de cet utilisateur.

Lorsque cette option est activée, les utilisateurs doivent se connecter à leur fournisseur d’identité, ce qui permet alors à Jamf Connect de rechercher un compte local correspondant.

Remarque :
  • Pour utiliser ce réglage, l’option Exiger l’authentification réseau (DenyLocal) doit être activée. Pour plus d’informations, consultez Restrictions en matière d’authentification locale et réseau.
  • Pour chaque authentification réseau réussie, l’enregistrement de l’utilisateur sera mis à jour avec l’attribut « NetworkSignIn ». Si un utilisateur n’utilise que l’authentification locale, cet attribut ne sera pas mis à jour.
<key>Migrate</key>
<false/>

MigrateUsersHide

Comptes locaux interdits de connexion au compte réseau

Une liste des noms d’utilisateur des comptes locaux exclus du processus de migration. L’utilisateur ne pourra par accéder à ces comptes au cours de l’étape « Connexion » du processus de connexion.

<key>MigrateUsersHide</key>
<array>
<string>administrateur</string>
<string>administrateur</string>
</array>

DemobilizeUsers

Démobiliser les comptes

Détermine si des comptes mobiles Active Directory existants sont démobilisés (processus de conversion d’un compte mobile en un compte local). La démobilisation supprime également l'autorité d'authentification réseau du compte.

Une fois le compte démobilisé, vous pouvez supprimer la liaison entre les ordinateurs et Active Directory.

Important :

Si vous supprimez la liaison avec Active Directory avant la démobilisation, la démobilisation risque d'échouer si le mot de passe Active Directory de l’utilisateur ne correspond pas au mot de passe du fournisseur d’identité et si Jamf Connect est configuré pour synchroniser les mots de passe lors de la création du compte. Assurez-vous que les comptes sont bien démobilisés avant de supprimer la liaison avec Active Directory et que le domaine Active Directory est accessible lors de la création du compte avec Jamf Connect. Pour obtenir des instructions, consultez l’article technique Demobilizing and Unbinding Mobile Accounts with Jamf Connect and Jamf Pro (Démobilisation et suppression de la liaison des comptes mobiles avec Jamf Connect et Jamf Pro).

<key>DemobilizeUsers</key>
<false/>

Réglages de personnalisation de la marque sur la fenêtre d’ouverture de session

  • Domainecom.jamf.connect.login
  • Description

    Utilisés pour personnaliser la fenêtre d’ouverture de session Jamf Connect à l’image de votre organisation

Clé

Description

BackgroundImage

Image d’arrière-plan

Chemin d’accès à un fichier image stocké localement et utilisé comme arrière-plan pour la fenêtre d’ouverture de session. Ce fichier image doit être stocké dans un emplacement pouvant être lu depuis la fenêtre d’ouverture de session.

<key>BackgroundImage</key>
<string>/usr/local/shared/background.jpg</string>

LoginLogo

Logo d’ouverture de session

Chemin d’accès à un fichier image stocké localement et utilisé comme logo lors de la validation du mot de passe ou de la création du mot de passe local.

Remarque :
  • Il est recommandé d’utiliser une taille d’image de 250 x 250 pixels.
  • Votre chemin d’accès ne doit pas contenir de barre oblique inversée « \ ».
  • Le fichier image et son chemin d’accès doivent se voir attribuer un ensemble d’autorisations qui peuvent être lues depuis la fenêtre d’ouverture de session, telles que 444.
<key>LoginLogo</key>
<string>/usr/local/images/logo.png</string>

LoginWindowMessage

Message de la fenêtre d’ouverture de session

Message personnalisé à afficher au centre en bas de la fenêtre d’ouverture de session.

<key>LoginWindowMessage</key>
<string>Connectez-vous avec le nom d’utilisateur et le mot de passe de votre entreprise.</string>

Réglages de l’aide utilisateur de la fenêtre d’ouverture de session

  • Domainecom.jamf.connect.login
  • Description

    Utilisés pour autoriser les utilisateurs à accéder aux ressources à l’aide d’un bouton d’aide, à se connecter à un réseau Wi‑Fi depuis la fenêtre d’ouverture de session et à utiliser les boutons de contrôle de la puissance.

Clé

Description

AllowNetworkSelection

Autoriser la sélection du réseau

Lorsqu’elle est définie sur true, cette clé de préférence permet aux utilisateurs de configurer et de confirmer leurs préférences de connexion réseau depuis la fenêtre d’ouverture de session. Pour accéder à cette fonctionnalité, les utilisateurs peuvent cliquer sur l’icône Wi‑Fi en haut à droite de la fenêtre d’ouverture de session.

Remarque :

Pour assurer la sécurité des ordinateurs, les utilisateurs ne peuvent pas se connecter aux réseaux via le portail captif depuis la fenêtre d’ouverture de session Jamf Connect.

<key>AllowNetworkSelection</key>
<false/>

HelpURL

URL d’aide

Spécifie une URL à afficher dans la fenêtre d’ouverture de session pour rediriger l’utilisateur vers une ressource d’aide pour s’inscrire ou faire ses premiers pas avec l’app.

<key> HelpURL</key>
<string> votreentreprise.aide.com</string>

HelpURLLogo

Icône d’aide

Image personnalisée à utiliser comme icône d’aide.

Remarque :

Pour activer cette fonctionnalité, la clé HelpURL doit être utilisée.

<key>HelpURLLogo</key>
<string>/usr/local/shared/helplogo.png</string>

LocalHelpFile

Fichier d’aide à la sauvegarde

Chemin d’accès à un fichier local, tel qu’un guide de dépannage réseau ou d’intégration auquel les utilisateurs peuvent accéder en cliquant sur l’icône d’aide dans la fenêtre d’ouverture de session Jamf Connect.

Ce fichier n’apparaît que si l’ordinateur ne peut pas se connecter à Internet ou accéder à l’URL spécifiée à l’aide de la clé HelpURL.

Remarque :

Les types de fichiers pris en charge incluent les fichiers PDF et HTML.

<key>LocalHelpFile</key>
<string>/usr/local/shared/JamfConnectHelp.pdf</string>

OIDCHideShutdown

Masquer le bouton Éteindre

Masquer le bouton Éteindre pour les utilisateurs dans la fenêtre d’ouverture de session

<key>OIDCHideShutdown</key>
<false/>

OIDCHideRestart

Masquer le bouton Redémarrer

Masquer le bouton Redémarrer pour les utilisateurs dans la fenêtre d’ouverture de session

<key>OIDCHideRestart</key>
<false/>

Réglages des identités hybrides Azure AD

  • Domainecom.jamf.connect.login
  • Description

    Utilisés pour configurer l’authentification et la synchronisation du mot de passe dans les environnements des identités hybrides Azure AD.

Clé

Description

ROPGProvider

Fournisseur d’identité (identité hybride)

Spécifie l’IdP auprès duquel Jamf Connect doit tenter de synchroniser les mots de passe. Les valeurs suivantes sont prises en charge :

  • Custom (Personnalisé)
  • Azure_v2
 
<key>ROPGProvider</key>

<string>Azure_v2</string>

ROPGTenant

Code du locataire (identité hybride)

Identifiant du locataire de votre organisation à utiliser pour la vérification des mots de passe.

<key>ROPGTenant</key>

<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>

ROPGDiscoveryURL

URL de découverte (identité hybride)

Spécifie votre point terminal de découverte OpenID Connect. Si vous utilisez AD FS, cette valeur correspond à votre domaine AD FS suivi de : « /adfs/.well-known/openid-configuration »

Remarque :

Cette clé est requise si vous définissez la clé ROPGProvider sur « Custom (Personnalisé) ».

<key>ROPGDiscoveryURL</key>
<string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>

 

ROPGRedirectURI

URI de redirection (identité hybride)

URI de redirection utilisé par l’application créée dans AD FS ou Azure AD.

Il est recommandé d’utiliser https://127.0.0.1/jamfconnect par défaut, mais il est possible d’utiliser n’importe quelle valeur URI valide tant que la valeur configurée dans Azure AD ou AD FS correspond à celle de votre profil de configuration Jamf Connect Login.

<key>ROPGRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

ROPGClientSecret

Secret du client (identité hybride)

Secret du client de votre application Jamf Connect. Lors de la configuration des secrets des clients, tenez compte des scénarios suivants :

  • Si vous utilisez le même secret du client pour l’authentification ROPG et l’autorisation de l’authentification avec Azure AD, ne définissez pas cette clé. Jamf Connect Login utilisera le secret défini avec la clé OIDCClientSecret pour l’authentification et la vérification du mot de passe.
  • Si vous n’utilisez pas un secret du client pour l’authentification ROPG, définissez cette valeur sur « NONE (AUCUN) ».
  • Si vous utilisez un secret du client différent pour chaque processus d’authentification, définissez les valeurs respectives des clés OIDCClientSecret et ROPGClientSecret.
<key>ROPGClientSecret</key>

<string>secret-de-votre-client</string>

Réglages du rôle utilisateur universel

  • Domainecom.jamf.connect.login
  • Description

    Le réglage du rôle utilisateur pouvant être utilisé par tous les IdP dans le cloud.

Clé

Description

CreateAdminUser

Créer des utilisateurs administrateurs

Créer tous les utilisateurs comme administrateurs locaux.

Remarque :

Cette clé ne crée que des comptes d’administrateurs locaux pour les nouveaux utilisateurs et n’impose pas le statut de compte local lors de la création du compte. Si les rôles utilisateurs sont configurés dans votre IdP et spécifiés par le réglage Rôles administrateur (OIDCAdmin), les comptes utilisateurs locaux sont susceptibles de changer lors de la prochaine connexion.

<key>CreateAdminUser</key>
<false/>

Réglages du rôle utilisateur OpenID Connect

  • Domainecom.jamf.connect.login
  • Description

    Utilisé pour configurer les rôles utilisateurs à partir des attributs des jetons d’identification reçus lors d’une authentification OpenID Connect.

Clé

Description

OIDCAdminAttribute

Attribut de l’administrateur

Indique quel attribut stocké dans un jeton d’identification est utilisé pour déterminer si un compte d’administrateur ou standard local doit être créé pour l’utilisateur. Par défaut, Jamf Connect utilisera l’attribut « groupes » pour trouver toutes les valeurs spécifiées dans le réglage Rôles administrateur (OIDCAdmin).

Remarque :
  • Si vous utilisez Azure AD, définissez cette valeur sur roles.
  • Si vous utilisez Google Identity, les rôles utilisateurs ne peuvent pas être définis à l’aide d’un jeton d’authentification.
<key>OIDCAdminAttribute</key>
<string>groupes</string>

OIDCAdmin

Rôles administrateur

Indique quels rôles (ou groupes) utilisateurs configurés dans votre IdP deviennent des administrateurs locaux lors de la création de compte. Vous pouvez spécifier un ou plusieurs rôles sous la forme d’un tableau de chaînes. Par défaut, Jamf Connect recherche ces valeurs dans l’attribut « groupes » du jeton d’authentification, à moins que le réglage Attribut de l’administrateur (OIDCAdminAttribute) ne soit configuré.

Remarque :

Si vous utilisez Google Identity, les rôles utilisateurs ne peuvent pas être définis à l’aide d’un jeton d’authentification.

<key>OIDCAdmin</key>
<array>
<string>rôle-un</string>
<string>rôle-deux</string>
<string>rôle-trois</string>
<string>rôle-quatre</string>
</array> 

OIDCIgnoreAdmin

Ignorer les rôles

Si la valeur est fixée sur true, Jamf Connect Login ignore tous les rôles qui existent dans votre fournisseur d’identité. Cette clé garantit que les comptes utilisateurs locaux conservent leur statut de compte administrateur ou de compte standard existant.

Si la valeur est définie sur false ou n’est pas spécifiée, Jamf Connect Login lit la clé OIDCAdmin pour les rôles configurés et modifie le statut du compte utilisateur local en fonction des rôles définis par votre fournisseur d'identité.

<key>OIDCIgnoreAdmin</key>
<false/>

Réglages du rôle utilisateur Okta

  • Domaine

    com.jamf.connect.login

  • Description

    (Okta uniquement) Utilisé pour configurer les rôles utilisateurs pour les nouveaux comptes locaux.

Clé

Description

OIDCAccessClientID

Identifiant client d’accès

Application OIDC à utiliser pour les utilisateurs autorisés à créer un compte ou à se connecter aux ordinateurs.

Remarque :

Tous les utilisateurs, y compris les administrateurs, doivent être ajoutés à cette application dans votre console d’administration Okta pour garantir l’accès à Jamf Connect.

<key>OIDCAccessClientID</key>
<string>0oad0gmia54gn3y8923h1</string>

 

OIDCAdminClientID

Identifiant client de l’administrateur

Application OIDC à utiliser pour les utilisateurs créés comme administrateurs locaux lors de la création de compte.

Remarque :

Seuls les administrateurs devraient être ajoutés à cette application dans votre console d’administration Okta.

<key>OIDCAdminClientID</key>
<string>0oa0gwese54gn3y9O0h4</string>

 

OIDCSecondaryLoginClientID

Identifiant client de connexion secondaire

Application OIDC à utiliser pour les utilisateurs autorisés à créer des utilisateurs supplémentaires sur les ordinateurs après la création du premier compte.

<key>OIDCSecondaryLoginClientID</key>
<string>0oa0grdsrhdsre54gn3y9O0h4</string>

OIDCRedirectURI

URI de redirection

URI de redirection utilisé par votre app Jamf Connect dans Okta.

Il est recommandé d’utiliser https://127.0.0.1/jamfconnect par défaut, mais il est possible d’utiliser n’importe quelle valeur URI tant que la valeur configurée dans Okta correspond à celle de votre profil de configuration Jamf Connect Login.

<key>OIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

Réglages de l’authentification multifacteur Okta

  • Domaine

    com.jamf.connect.login

  • Description

    (Okta uniquement) Utilisés pour personnaliser les options et le texte MFA

Clé

Description

MessageOTPEntry

Message Mot de passe à usage unique

(Okta seulement) Texte affiché lorsqu’un utilisateur doit entrer un mot de passe à usage unique (OTP) dans le cadre d’une authentification multifacteur (MFA).

<key>MessageOTPEntry</key>
<string>Saisir votre code de vérification.</string>

MFARename

Noms des options MFA

(Okta uniquement) Noms personnalisés pour les options MFA utilisées avec l’authentification Okta dans votre organisation. Pour en savoir plus sur les types d’options MFA que vous pouvez configurer avec Jamf Connect et Okta, consultez Authentification multifacteur.
<key>MFARename</key>

   <dict>

	<key>push</key>
	
<string>App Okta Verify : notification push</string>
	
<key>question</key>

	<string>Questions de sécurité Okta</string>

	<key>web</key>
<string>App Duo Mobile</string>
<key>sms</key>

	<string>SMS Okta : code de vérification</string>

	<key>google:token:software:totp</key>

	<string>App Google Authenticator : code de vérification</string>

	<key>okta:token:software:totp</key>

	<string>App Okta Verify : code de vérification</string>

	<key>token:hardware</key>

	<string>Clé de sécurité USB</string>

   </dict>

MFAExcluded

Options MFA masquées

(Okta uniquement) Une liste des options MFA que vous ne souhaitez pas afficher pour les utilisateurs
<key>MFAExcluded</key>

   <array>

	<string>push</string>

	<string>question</string>

	<string>okta:token:software:totp</string>
	<string>google:token:software:totp</string>	
	<string>token:hardware</string>

	<string>webauthn</string>
	<string>web</string>
   </array>

Réglages avancés de l’authentification de la connexion

  • Domainecom.jamf.connect.login
  • Description

    Utilisés pour configurer les réglages d’authentification avancés et utiliser des réclamations personnalisées dans un jeton d’identification.

Clé

Description

OIDCAuthServer

Serveur d’autorisation personnalisé Okta

(Okta uniquement) Spécifie un serveur d’autorisation personnalisé dans votre locataire Okta, qui peut être utilisé pour envoyer des périmètres et des réclamations personnalisés dans le jeton d’identification d’un utilisateur (stocké via la clé OIDCIDTokenPath) lors de la création d’un compte local.

Pour définir cette valeur, utilisez l’identifiant du serveur d’autorisation personnalisé, qui se trouve sous forme de chaîne à la fin de l’URI de l’émetteur de votre serveur d’autorisation personnalisé. Dans l’URI d’émetteur ci-dessous, abc9o8wzkhckw9TLa0h7z est l’identifiant du serveur d’autorisation.

Exemple : https://votre-serveur-d-autorisation-personnalisé.okta.com/oauth2/abc8o8wzjhckw
Pour utiliser ce réglage, vous devez créer une intégration d’app dans Okta afin de définir les rôles utilisateurs pour le réglage (OIDCAccessClientID).
Remarque :

Ce réglage ne doit être utilisé que si votre locataire Okta dispose d’un serveur d’authentification distinct qui gère les apps OpenID Connect et les attributs des jetons d’identification. Si la valeur de ce réglage est la même que celle de votre locataire principal utilisé avec le réglage Serveur d’authentification (AuthServer), l’authentification avec Okta peut générer des erreurs inattendues.

<key>OIDCAuthServer</key>
<string>abc8o8wzjhckw9TLa0t8q</string>

Pour plus d’informations sur la création d’un serveur d’autorisation personnalisé, consultez la documentation Okta Authorization Server (Serveur d’autorisation Okta) issue du site web pour les développeurs Okta.

OIDCIgnoreCookies

Ignorer les cookies

Ignore les cookies stockés par l’application loginwindow

<key>OIDCIgnoreCookies</key>
<false/>

OIDCScopes

Périmètres OpenID Connect.

Spécifie les périmètres personnalisés qui renvoient des réclamations supplémentaires dans le jeton d’identification d’un utilisateur lors de l’autorisation. Les périmètres standard incluent openid, profile et offline_access. Si vous utilisez plusieurs périmètres, ajoutez un « + » pour les séparer.

<key>OIDCScopes</key>
<string>openid+profil</string>

OIDCShortName

Nom court

Spécifie la réclamation du jeton d’identification d’un utilisateur à utiliser comme nom abrégé du compte. Le nom abrégé est ajouté comme alias au compte local de l’utilisateur.

Remarque :

Si la réclamation que vous voulez utiliser n’est pas dans le jeton d’identification standard, vous pouvez recevoir des réclamations supplémentaires dans un jeton d’identification en spécifiant des réclamations supplémentaires avec la clé de préférence OIDCScopes.

<key>OIDCShortName</key>
<string>prénom</string>

OIDCROPGShortName

Nom abrégé ROPG

Spécifie la réclamation d’un jeton d’identification à utiliser comme nom d’utilisateur au cours du processus d’authentification ROPG (vérification du mot de passe).

Remarque :

Si la réclamation que vous voulez utiliser n’est pas dans le jeton d’identification standard, vous pouvez recevoir des réclamations supplémentaires dans un jeton d’identification en spécifiant des réclamations supplémentaires avec la clé de préférence OIDCScopes.

Ce réglage n’est utilisé que dans les environnements d’IdP complexes où l’IdP ne respecte pas les réclamations utilisées par Jamf Connect pour définir le nom d’utilisateur (par exemple, unique_name, preferred_username, email et sub) au cours du workflow ROPG.

<key>OIDCROPGShortName</key>
<string>prénom</string> 

OIDCIDTokenPath

Chemin du jeton d’identification formaté

Spécifie le chemin d’accès qui peut être utilisé pour stocker le jeton d’identification formaté d’un utilisateur.

Remarque :

Cette clé requiert l’activation du mécanisme RunScript. Pour plus d’informations, consultez Ajout d’un script d’ouverture de session.

<key>OIDCIDTokenPath</key>
<string>/tmp/token</string>

OIDCIDTokenPathRaw

Chemin du jeton d’identification brut

Spécifie le chemin d’accès qui peut être utilisé pour stocker le jeton d’identification brut d’un utilisateur.

Remarque :

Cette clé requiert l’activation du mécanisme RunScript. Pour plus d’informations, consultez Ajout d’un script d’ouverture de session.

<key>OIDCIDTokenPathRaw</key>
<string>/tmp/jeton-brut</string>

UseUserInfo

(PingFederate uniquement) Si cette valeur est définie sur true, Jamf Connect peut demander des réclamations supplémentaires à un jeton utilisateur PingFederate. Ce réglage ne doit être utilisé que si vous émettez un jeton de référence géré en interne de PingFederate.

Pour plus d’informations sur la gestion de PingFederate, consultez la section Configuration OAuth dans le manuel de l’administrateur PingFederate.

<key>UseUserInfo</key>
<false/>

Réglages FileVault

  • Domaine

    com.jamf.connect.login

  • Description

    Utilisé pour configurer l’activation de FileVault avec Jamf Connect.

Clé

Description

EnableFDE

Activez FileVault

Si la valeur est définie sur true, FileVault sera activé pour le premier utilisateur qui se connectera à un ordinateur.

<key>EnableFDE</key>
<false/>

EnableFDERecoveryKey

Enregistrer la clé de secours FileVault

Si la valeur est définie sur « true », Jamf Connect stockera la clé de secours personnelle dans /var/db/NoMADFDE, sauf indication contraire.

<key>EnableFDERecoveryKey</key>
<false/>

EnableFDERecoveryKeyPath

Définir le chemin accès à la clé de secours

Spécifie un chemin d’accès au fichier personnalisé pour le PRK plutôt que le chemin /var/db/NoMADFDE par défaut.

<key>EnableFDERecoveryKeyPath</key>
<string>/usr/local/filevault</string>

LAPSUser

Utilisateur LAPS

Un compte d’administrateur local existant, pour lequel Jamf Connect peut remplacer le mot de passe par la clé de secours personnelle.

Ce réglage est uniquement utilisé par Jamf Connect pour permettre d’activer FileVault sur les comptes standard sur macOS 10.15.x. Ce réglage ne doit pas utilisé sur les ordinateurs avec macOS 11.0.1 ou version ultérieure.

<key>LAPSUser</key>
<string>UtilisateurAdmin</string>

Réglages de règle d’utilisation acceptable

  • Domaine

    com.jamf.connect.login

  • Description

    Utilisés pour configurer une règle d’utilisation acceptable affichée dans la fenêtre d’ouverture de session Jamf Connect à l’attention des utilisateurs.

Clé

Description

EULAFilePath

Document Règle d’utilisation acceptable

Indique le chemin d’accès à un fichier contenant un document Règle d’utilisation acceptable que les utilisateurs doivent accepter avant de se connecter. Les formats de fichier pris en charge sont les suivants :

  • PDF
  • TXT
  • RTF
  • RTFD
<key>EULAFilePath</key>
<string>/usr/local/shared/AcceptableUseExample.pdf</string>

EULAPath

Chemin d’accès au fichier d’audit

Spécifie le chemin d’accès au répertoire où sont stockés les enregistrements des acceptations par les utilisateurs de la règle d’utilisation acceptable.

Ce chemin de fichier doit disposer des droits d’accès en écriture pour _SecurityAgent. Nous recommandons /Users/Shared/.

<key>EULAPath</key>
<string>/Users/Shared/</string>

EULAText

Texte de règle d’utilisation acceptable

Corps du texte de la règle d’utilisation acceptable.
Remarque :

Pour formater le corps du texte, vous pouvez saisir *** dans la valeur de chaîne pour commencer une nouvelle ligne.

<key>EULAText</key>
<string>Exemple de corps de texte.***Nouvelle ligne d’exemple de corps de texte.</string>

EULATitle

Titre de règle d’utilisation acceptable

Titre de la règle d’utilisation acceptable

<key>EULATitle</key>
<string>Conditions générales</string>

EULASubTitle

Sous-titre de règle d’utilisation acceptable

Sous-titre de la règle d’utilisation acceptable

<key>EULASubTitle</key
<string>Pour commencer à utiliser votre Mac, vous devez accepter les conditions générales.</string>

Réglages de script d’ouverture de session

  • Domainecom.jamf.connect.login
  • Description

    Utilisés pour exécuter des scripts pendant le processus d’ouverture de session.

    Remarque :

    Le mécanisme RunScript doit être activé avant de configurer les préférences de script.

Clé

Description

ScriptArgs

Arguments du script

Arguments utilisés avec un script spécifié exécuté par le mécanisme RunScript

Remarque :

La clé ScriptPath doit être spécifiée.

<key>ScriptArgs</key>
<array>
<string>-v</string>
<string>-utilisateur</string>
</array>

ScriptPath

Chemin d’accès au script

Spécifie le chemin d’accès à un script ou autre exécutable exécuté par le mécanisme RunScript. Un seul script peut être utilisé avec Jamf Connect Login à la fois.

<key>ScriptPath</key>
<string>/usr/local/bin/loginScript</string>

NotifyLogStyle

Affiche les journaux de règles Jamf Pro en tant que mises à jour de statut sur l’écran notify

Lorsque l’écran notify de Jamf Connect est configuré, affiche les journaux de règles Jamf Pro au cours de l’enrôlement automatisé des appareils (anciennement DEP) en tant que mises à jour de statut pour les utilisateurs.

Pour activer ce réglage, définissez cette valeur sur jamf.

<key>NotifyLogStyle</key>
<string>jamf</string>

UIDTool

Utiliser un outil UID personnalisé

Spécifie un chemin d’accès vers un outil UID qui vous permet de définir l’UID d’un compte utilisateur local sur une valeur personnalisée lors de la création du compte. Cet UID peut être utilisé pour faire correspondre l’UID d’un compte utilisateur local avec l’attribut UID LDAP d’un utilisateur. Votre outil UID doit être un script exécutable.

Votre outil UID doit accepter les noms abrégés des comptes et répondre à l’UID voulu pour le compte utilisateur.

<key>UIDTool</key>
<string>/Users/Shared/UIDTool</string>

Réglages du module PAM (Pluggable Authentication Module)

  • Domainecom.jamf.connect.login
  • Description

    Utilisé pour activer l’authentification PAM sur les ordinateurs.

Clé

Description

AuthUIOIDCProvider

Fournisseur d’identité (PAM)

Indique le fournisseur d’identité à utiliser pour l’authentification via le module PAM (Pluggable Authentication Module)

<key>AuthUIOIDCProvider</key>
<string>insérer-fournisseur-identité</string>

AuthUIOIDCClientID

Identifiant client (PAM)

L’identifiant client de l’app Jamf Connect créée dans votre fournisseur d’identité, utilisé pour l’authentification via le module PAM

<key>AuthUIOIDCClientID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

URI de redirection (PAM)

L’URI de redirection utilisé par l’app Jamf Connect créée dans votre fournisseur d’identité.

<key>AuthUIOIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

Code du locataire (PAM)

Le locataire de votre fournisseur d’identité, utilisé pour l’authentification via le module PAM

Remarque :

Si Okta est votre fournisseur d’identité, cette clé est requise.

<key>AuthUIOIDCTenant</key>
<string>dev-123456</string>

AuthUIOIDCClientSecret

Secret du client (PAM)

Secret du client utilisé par votre app Jamf Connect dans votre fournisseur d’identité. Cette valeur est connue seulement de Jamf Connect et de votre fournisseur d’identité.

<key>AuthUIOIDCClientSecret</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>