Intégrations fédérées

Une intégration fédérée est une solution d’identité hybride qui permet à votre fournisseur d’identité cloud de changer de méthode d’authentification, par exemple AD FS (Active Directory Federate Services) sur site.

Si une intégration fédérée avec AD FS est mise en œuvre dans votre environnement, vous pouvez configurer Jamf Connect pour qu’elle fonctionne avec votre intégration fédérée en configurant Jamf Connect de manière à ce qu’il utilise des points terminaux cloud et sur site pour l’authentification et la synchronisation des mots de passe.

  • Azure AD

    Utiliser une application et des terminaux enregistrés dans Azure AD pour effectuer l’autorisation par code afin d’obtenir l’accès, le rafraîchissement et les ID tokens (jetons d’ID) d’Azure AD.

  • AD FS

    Utiliser une application AD FS et des points terminaux pour effectuer l’autorisation par mot de passe du propriétaire de la ressource (ROPG) de façon à vérifier que le nom d’utilisateur et le mot de passe locaux sont synchronisés avec Active Directory sur site

    Pour en savoir plus sur les intégrations fédérées avec Azure AD, consultez la documentation Fédération avec Azure AD Connect de Microsoft.

Le diagramme ci-dessous montre comment Jamf Connect peut utiliser les deux terminaux pour créer des comptes locaux et synchroniser les mots de passe :

Configuration de Jamf Connect avec AD FS

Exigences
  1. Confirmez que vos environnements Azure AD et AD FS sont correctement configurés et activés pour les protocoles d’authentification OpenID Connect.
  2. Ajouter les clés de préférence suivantes au profil de configuration de votre fenêtre d’ouverture de session :

    Clé

    Description

    OIDCProvider

    Fournisseur d’identité

    Spécifie Azure AD comme fournisseur d’identité cloud pour l’authentification.

    <key>OIDCProvider</key>
    <string>Azure</string>

    OIDCClientID

    Identifiant client

    ID client de l’app enregistrée dans votre IdP utilisé pour authentifier l’utilisateur.

    <key>OIDCClientID</key>
    <string>8zcc52c7-ee36-4889-8517-lkjslkjoe23</string>

    OIDCNewPassword

    Créer un mot de passe local distinct

    Invite les utilisateurs à ressaisir leur mot de passe réseau, qui devient du même coup le mot de passe de leur compte local. Ceci permet de s’assurer que le réseau et le mot de passe local sont synchronisés pendant la création de l'utilisateur.

    <key>OIDCNewPassword</key>
    <false/>

    ROPGProvider

    Fournisseur d’identité (identité hybride)

    Spécifie l’IdP auprès duquel Jamf Connect doit tenter de synchroniser les mots de passe. Définissez cette valeur sur « Custom » pour autoriser Jamf Connect à utiliser AD FS.

    <key>ROPGProvider</key>
    <string>Personnalisé</string>

    OIDCROPGID

    Identifiant client (vérification du mot de passe)

    Identifiant client utilisé par votre app Jamf Connect AD FS.

    <key>OIDCROPGID</key>
    <string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>

    ROPGRedirectURI

    URI de redirection (identité hybride)

    URI de redirection utilisé par l’app créée dans AD FS.

    <key>ROPGRedirectURI</key>
    <string>https://127.0.0.1/jamfconnect</string>

    ROPGDiscoveryURL

    URL de découverte (identité hybride)

    Spécifie votre point terminal de découverte OpenID Connect. Cette valeur correspond à votre domaine AD FS suivi de : « /adfs/.well-known/openid-configuration »

    <key>ROPGDiscoveryURL</key>
    <string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>
  3. Ajouter les clés de dictionnaire IdPSettings suivantes au profil de configuration de votre barre de menus :

    Clé

    Description

    Provider

    Fournisseur d’identité

    Spécifie l’IdP auprès duquel Jamf Connect doit tenter de synchroniser les mots de passe. Définissez cette valeur sur « Custom » pour autoriser Jamf Connect à utiliser AD FS.

    <key>Provider</key>
    <string>Personnalisé</key>

    DiscoveryURL

    URL de découverte

    Spécifie votre point terminal de découverte OpenID Connect. Cette valeur correspond à votre domaine AD FS suivi de : « /adfs/.well-known/openid-configuration »

    <key>DiscoveryURL</key>
<string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>

    ROPGID

    Identifiant client

    Identifiant client utilisé par votre app Jamf Connect AD FS.

    <key>ROPGID</key>
<string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>
  4. Testez vos profils de configuration avec Jamf Connect Configuration ou un ordinateur test pour confirmer que l’authentification est correctement configurée.
  5. Enregistrez vos profils de configuration.

Vous pouvez maintenant déployer les profils de configuration avec une solution MDM.