Configuration de l’authentification par signature unique Kerberos

L’entité Authentification par signature unique (SSO) des extensions d’app vous permet d’utiliser l’authentification par signature unique (SSO) Kerberos avec les appareils Apple de votre établissement. L’extension SSO Kerberos simplifie le processus d’acquisition d’un ticket d’octroi de tickets (Ticket granting ticket ou TGT) Kerberos depuis le domaine Active Directory de votre organisation, permettant aux utilisateurs d'effectuer leur authentification de manière transparente auprès de ressources telles que les sites Web, les apps et les serveurs de fichiers. L’extension SSO Kerberos permet également à vos utilisateurs de gérer leurs comptes Active Directory. Sur macOS, elle permet aux utilisateurs de modifier leurs mots de passe Active Directory et les informe lorsqu’un mot de passe est sur le point d’expirer. Les utilisateurs peuvent également modifier les mots de passe de leur compte local pour les faire correspondre à ceux de leur compte Active Directory.

Exigences

Pour utiliser Kerberos pour la SSO, vous avez besoin des éléments suivants :

  • Des ordinateurs dotés de macOS 10.15 ou version ultérieure et un MDM approuvé par l’utilisateur

  • Appareils mobiles avec iOS 13 ou version ultérieure, ou iPadOS 13 ou version ultérieure

  • Un domaine Active Directory fonctionnant sous Windows Server 2008 ou version ultérieure (pour plus d’informations sur la liaison des ordinateurs à un domaine Active Directory, consultez Liaison Open Directory).

    Remarque :

    L’extension SSO Kerberos n’est pas prévue pour être utilisée avec Azure Active Directory. Elle nécessite un domaine Active Directory traditionnel sur site.

  • L’accès au réseau sur lequel le domaine Active Directory est hébergé. Cet accès réseau peut se faire par Wi-Fi, Ethernet ou VPN.

  1. Dans Jamf School, accédez à Profils dans la barre latérale.
  2. Cliquez sur + Créer un profil.
  3. Sélectionnez le système d’exploitation pour lequel vous voulez créer le profil ou choisissez Téléverser un profil personnalisé.
  4. Sélectionnez le type d’enrôlement pour lequel vous voulez créer le profil.
  5. Renseignez un nom dans le champ Nom de profil et configurez tous les réglages nécessaires.
  6. Cliquez sur Finir.
  7. Cliquez sur le profil que vous voulez configurer.
  8. Utilisez l’entité Périmètre pour configurer le périmètre du profil en cliquant sur l’icône + et en ajoutant des groupes d’appareils au périmètre du profil. Pour plus d’informations, voir Groupes d’appareils.
  9. Cliquez sur l’icône Réglages et procédez comme suit :
    • Pour installer le profil automatiquement sur les appareils, sélectionnez Passer à l’installation automatique pour tous les groupes.

    • Pour permettre aux utilisateurs d’installer eux-mêmes le profil dans les apps Jamf Teacher ou Jamf School Student, sélectionnez Passer à l’installation sur demande pour tous les groupes.

  10. Utilisez l’entité Authentification par signature unique des extensions d’app pour configurer les réglages suivants :
    1. Choisissez Kerberos (Credential) dans le menu contextuel Type d’authentification.
    2. Dans le champ Domaine, saisissez le nom de votre domaine Active Directory en lettres majuscules.
      Remarque :

      N’utilisez pas le nom de votre forêt Active Directory, à moins que vos comptes d’utilisateurs ne se trouvent au niveau de la forêt.

    3. Dans Domaines, cliquez sur + et ajoutez des domaines pour toutes les ressources qui utilisent Kerberos. Par exemple, si vous utilisez l’authentification Kerberos avec les ressources dans us.example.com, ajoutez « .us.example.com ».
      Remarque :

      Assurez-vous d’inclure le point.

    4. Pour stocker le mot de passe de l’utilisateur dans son trousseau, cochez la case Autoriser l’ouverture de session automatique.
    5. Pour ouvrir un site Web de changement du mot de passe dans le navigateur par défaut lorsque l’utilisateur sélectionne « Changer le mot de passe » ou accuse réception d’un avis d’expiration du mot de passe, cochez la case Autoriser le changement de mot de passe.
    6. Pour Obliger les utilisateurs à utiliser Face ID, Touch ID ou le code, cochez la case Exiger la présence de l’utilisateur.
    7. Pour autoriser l’extension à définir automatiquement votre site Active Directory, cochez la case Utiliser le site Auto Discovery.
    8. Pour autoriser l’extension à utiliser un cache spécifique au GSS-API (Generic Security Service Application Program Interface), saisissez le nom GSS du cache Kerberos dans le champ Nom du cache.
    9. Dans Identifiants de l’identifiant de bundle, cliquez sur + et ajoutez une liste des identifiants de bundle autorisés à accéder au TGT.
    10. Cliquez sur + Ajouter une cartographie de domaine pour ajouter un mappage personnalisé des domaines pour Kerberos. Cette option est utilisée lorsque le nom du Domain Name System (DNS) des hôtes ne correspond pas au nom de domaine.
    11. Saisissez le nom principal dans le champ Nom de principal.
    12. (macOS uniquement) Pour spécifier le nombre de jours pendant lesquels les mots de passe peuvent être utilisés sur le domaine avant expiration, cochez la case Remplacer l’expiration du mot de passe par défaut.
    13. (iOS uniquement) Pour autoriser uniquement les applications gérées à accéder à l’identifiant de bundle et à l’utiliser, cochez la case Apps gérées en bundle.
    14. Saisissez le nom du site Active Directory que l’extension Kerberos doit utiliser dans le champ Code du site.
  11. Cliquez sur Enregistrer.

Une fois que le profil Authentification par signature unique des extensions d’app a été installé sur les appareils mobiles dans le périmètre et que l’utilisateur a connecté son appareil à un réseau sur lequel est disponible le domaine Active Directory de votre organisation, les utilisateurs peuvent s’authentifier à l’aide de leurs identifiants Kerberos ou Active Directory. Une fois que les ordinateurs dans le périmètre sont connectés au réseau sur lequel est disponible votre domaine Active Directory, les utilisateurs sont invités à s’authentifier immédiatement après l’installation du profil Authentification par signature unique des extensions d’app.