Intégration à Google Identity

L’intégration de Jamf Connect à Google Cloud Identity implique deux étapes d’intégration distinctes pour utiliser à la fois la fenêtre d’ouverture de session et la barre de menus de l’app :

Création d’une intégration OpenID Connect pour la fenêtre d’ouverture de session

Jamf Connect utilise le protocole d’authentification OpenID Connect pour créer des comptes locaux et connecter les utilisateurs via l’authentification réseau.

Création et déploiement d’un certificat LDAP pour la synchronisation du mot de passe de la barre de menus de l’app

Jamf Connect utilise l’authentification LDAP avec le service LDAP sécurisé de Google pour vérifier si le mot de passe réseau d’un utilisateur correspond à son mot de passe local sur le Mac.

Création d’une intégration d’app OpenID Connect pour la fenêtre d’ouverture de session

Vous devez intégrer Jamf Connect à Google ID en créant des identifiants OAuth 2.0 pour l’application.

  1. Connectez-vous à Google Cloud.
  2. Cliquez sur l’icône du menu Navigation dans le coin supérieur gauche.
  3. Cliquez sur API et services > Identifiants.
    Remarque :

    Vous serez peut-être invité à créer un projet et à l’assigner à votre organisation.

  4. Choisissez OAuth client ID (ID client OAuth) dans le menu contextuel Créer des identifiants.
  5. Effectuez les étapes suivantes sur la page « Create OAuth client ID (Créer un ID client OAuth) » :
    1. Sous « Application type (Type d’application) » , sélectionnez Application Web.
    2. Saisissez Jamf Connect ou quelque chose de similaire dans le champ Nom.
    3. Entrez un URI valide, par exemple « https://127.0.0.1/jamfconnect » dans le champ Authorized redirect URIs (URI de redirection autorisés).
  6. Cliquez sur Créer.

L’identifiant client pour Jamf Connect a été créé avec succès et une boîte de dialogue contenant votre identifiant client et votre secret client s’affiche.

Assurez-vous de copier l’identifiant client et le secret client dans votre presse-papier. Ces valeurs doivent être ajoutées à votre profil de configuration Jamf Connect.

Important :

Vous devez également configurer l’écran d’accord de l’utilisateur Google, qui décrit les informations auxquelles Jamf Connect aura accès à partir du compte Google de l’utilisateur. Pour configurer cet écran, accédez à API et services > Identifiants > Écran d’autorisation OAuth.

Génération d’un fichier keystore PKCS12 (.p12) à partir d’un client LDAP Google Cloud

Le service LDAP sécurisé de Google génère un certificat qui sert de mécanisme d’authentification principal pour permettre aux clients LDAP de s’authentifier auprès du service LDAP sécurisé.

Ce certificat permet à Jamf Connect de synchroniser les mots de passe du compte Google et du compte local d’un utilisateur sur un ordinateur Mac.

Exigences

  • Un client LDAP depuis lequel télécharger un certificat.

    Pour plus d’informations, consultez la section Ajouter et connecter des nouveaux clients LDAP du site web Aide Cloud Identity.

  • Pour convertir le certificat et la clé au format .p12, OpenSSL doit être installé dans votre environnement local.

  1. Connectez-vous à votre console d’administration Google.
  2. Cliquez sur Apps, puis sur LDAP.
  3. Choisissez le client LDAP que vous voulez intégrer à Jamf Pro.

    Le statut du commutateur de service doit être activé pour le client LDAP choisi.

  4. Cliquez sur Authentification.
  5. Téléchargez le fichier de certificat que vous utiliserez dans le cadre de l’intégration à Jamf Pro.
  6. Extrayez l’archive téléchargée. La sortie doit contenir le fichier de certificat (.crt) et le fichier de clé privée (.key).
  7. Pour générer le fichier keystore .p12, exécutez la commande suivante :
    openssl pkcs12 -export -out /path/to/generated/keystore.p12 -inkey /path/to/saved/privatekey.key -in /path/to/saved/certificate.crt
  8. Lorsque vous y êtes invité, créez un mot de passe.

    Il s’agit du mot de passe que vous utiliserez pour accéder au fichier keystore. Stockez ce mot de passe dans un emplacement sécurisé.

Vous pouvez désormais uploader le fichier keystore .p12 généré dans Jamf Pro ou l’ajouter localement au trousseau du système de l’ordinateur.

Déploiement d’un fichier keystore .p12 avec Jamf Pro

Un fichier keystore .p12 généré à partir d’un client LDAP dans votre console d’administration Google doit être installé sur les ordinateurs pour permettre à Jamf Connect de synchroniser les mots de passe des utilisateurs.

Vous pouvez utiliser Jamf Pro pour déployer ce fichier en l’uploadant dans l’entité Certificats d’un profil de configuration.

  1. Dans Jamf Pro, cliquez sur Ordinateurs  en haut de la barre latérale.
  2. Cliquez sur Profils de configuration dans la barre latérale.
  3. Cliquez sur Nouveau .
  4. Utilisez l’entité Général pour configurer les réglages de base du profil de configuration.
  5. Dans l’entité Certificats, cliquez sur Configurer.
  6. Donnez un nom à votre certificat.
  7. Uploadez le fichier .p12 généré et saisissez le mot de passe du keystore LDAP.
  8. Sélectionnez Autoriser l’accès pour toutes les apps.
  9. Cliquez sur Enregistrer .

Le profil de configuration est déployé sur les ordinateurs cible.

Installation manuelle d’un fichier keystore .p12

Un fichier keystore .p12 généré à partir d’un client LDAP dans votre console d’administration Google doit être installé sur les ordinateurs pour permettre à Jamf Connect de synchroniser les mots de passe des utilisateurs.

Vous pouvez installer manuellement ce fichier en l’ajoutant au trousseau du système via Keychain Access (Accès au trousseau).

  1. Ouvrez Accès au trousseau, puis glissez-déposez le fichier .p12 dans le volet Trousseau du système.
  2. Lorsque vous y êtes invité, saisissez le mot de passe du keystore du client LDAP que vous avez créé lors de la génération du fichier keystore.
  3. Dans le volet Trousseau du système, cliquez sur l’onglet Mes certificats.
  4. Modifiez les réglages de confiance du certificat LDAP de sorte à toujours lui faire confiance :
    1. Cliquez avec le bouton droit de la souris sur le certificat LDAP, puis cliquez sur Évaluer "Nom de votre certificat"..., puis sur Continuer.
    2. Cliquez sur Afficher le certificat....
    3. Développez le menu Fiabilité, puis sélectionnez Toujours faire confiance dans le menu contextuel.
  5. Autoriser toutes les apps à accéder au certificat :
    1. Cliquez sur le triangle à côté du certificat LDAP.
      La clé privée LDAP s’affiche.
    2. Double-cliquez sur la clé privée.
      Une fenêtre Clé privée s’affiche.
    3. Assurez-vous que l’option Autoriser toutes les apps à accéder à cet élément est sélectionnée.
      Remarque :

      Si vous voulez restreindre l’accès à ldapsearch uniquement, vous pouvez ajouter /usr/bin/ldapsearch à la liste des apps y ayant accès.