Aktivieren von SSO mit SAML in Jamf Pro

Jamf Pro Dokumentation 11.14.0
Solution
Application
Content Type
Technische Dokumentation
Utilities & Services
version
11.14.0
ft:locale
de-DE
vrm_version
11.14.0

Um SSO mit SAML für Endbenutzer zu aktivieren, müssen Sie Einstellungen in der Konsole Ihres Identitätsdienstes und Jamf Pro konfigurieren.

Bevor Sie SSO in Jamf Pro aktivieren, müssen Sie Einstellungen für Ihren Identitätsdienst konfigurieren. In einigen Umgebungen muss die Konfiguration zwischen Identitätsdienst und Jamf Pro simultan erfolgen.

Note:

Wenn Sie SSO für Jamf Pro Dienste und Apps aktivieren, können sich Benutzer nicht mit Standard- und Verzeichnisanmeldedaten authentifizieren. Jamf empfiehlt, die Benutzer über Änderungen an der Authentifizierung in Ihrer Organisation zu informieren, wenn SSO aktiviert wird.

Requirements

  • Integration in einen Identitätsdienst, der SAML-2.0-Protokolle unterstützt. Weiterführende Informationen finden Sie hier:

  • TCP-Verbindung zwischen Jamf Pro Server und Identitätsdienst

  • Jamf Pro Benutzeraccounts oder Gruppen, die mit Benutzernamen oder Gruppen beim Identitätsdienst übereinstimmen

  • Administratorberechtigungen für Jamf Pro und den Identitätsdienst

  • Wenn Sie die Failover-URL für den Zugriff auf Jamf Pro verwenden und die SSO-Authentifizierung aktiviert ist, benötigen die Jamf Pro Benutzeraccounts Lese- und Aktualisierungsberechtigungen für SSO

  1. Klicken Sie in Jamf Pro auf Einstellungen in der Seitenleiste.
  2. Klicken Sie im Abschnitt System auf Single Sign-On .
  3. Klicken Sie auf Bearbeiten .
  4. Wählen Sie SSO-Authentifizierung aktivieren aus, um die Konfiguration zu aktivieren.
  5. Wählen Sie eine der folgenden Optionen:

    • Wenn Sie Jamf Account für SSO für Administratoren verwenden, wählen Sie SAML-Authentifizierung für Endbenutzer verwenden (mit IdP-Einstellungen von Jamf Pro), um die SAML-Authentifizierung für SSO für Endbenutzer zu aktivieren.

    • Wenn Sie die SAML-Authentifizierung nur für SSO verwenden, wählen Sie SAML-Authentifizierung.

    Note:

    Klicken Sie im Feld Anmelde-URL für Failover auf In Zwischenablage kopieren und speichern Sie die Anmelde-URL für Failover an einem sicheren Ort. Mit dieser URL können Sie sich nach der Aktivierung von SSO mit Ihren Jamf Pro Anmeldedaten anmelden.

  6. Wählen Sie im Pop-up-Menü Identitätsdienst Ihren Identitätsdienst aus.

    Wenn Ihr Identitätsdienst nicht aufgeführt ist, wählen Sie "Sonstiges" und geben Sie den Namen Ihres Identitätsdienstes in das Feld Anderer Anbieter ein. Das Feld Entitäts-ID ist standardmäßig bereits ausgefüllt (z.B. „https://JAMF_PRO_URL.jamfcloud.com/saml/metadata“).

    Note:

    Bei den meisten Identitätsdiensten sollte der Wert Entitäts-ID mit dem Wert Zielgruppen-URI in den Konfigurationseinstellungen des Identitätsdienstes übereinstimmen.

  7. Wählen Sie eine Option, um die Einstellung Metadatenquelle des Identitätsdiensts zu konfigurieren:
    • Metadaten-DateiZum Hochladen einer Metadaten-Datei im XML-Format.
    • Metadaten-URLSie müssen diese URL von den Konfigurationseinstellungen Ihres Identitätsdienstes (z.B. „Zielgruppen-URI“ oder „Zielgruppe-Einschränkung“) abrufen.
  8. (Optional) (Nur Okta) Aktivieren Sie Außerkraftsetzung der Tokenablaufzeit, wenn Sie die standardmäßige Token-Ablauffrist außer Kraft setzen möchten.

    Wenn aktiviert, bestimmt der Wert in Minuten die Dauer, bevor das SAML-Token ungültig wird. Im Feld ist bereits der von Okta festgelegte Standardwert eingetragen. Wenn Sie den Standardwert überschreiben, muss der neue Wert mit den in Okta konfigurierten Einstellungen für den Ablauf des Tokens übereinstimmen.

    Die Außerkraftsetzung der Tokenablaufzeit Einstellung ist in Okta standardmäßig Deaktiviert, und es wird die Standardablaufzeit verwendet.

    Important:

    Bei Jamf Pro Benutzern oder Endbenutzern, die registrierte Geräte verwenden, können möglicherweise Anmeldefehler auftreten, wenn die Einstellung Außerkraftsetzung der Tokenablaufzeit aktiviert ist. Um diese Fehler zu umgehen, deaktivieren Sie bei Bedarf die Einstellung Außerkraftsetzung der Tokenablaufzeit. Dadurch wird Jamf Pro daran gehindert, die Lebensdauer des Tokens zu überprüfen, die von Ihrem Identitätsdienst kontrolliert und überprüft wird. Oder vergewissern Sie sich, dass das in Jamf Pro festgelegte Ablaufdatum des Tokens nach dem vom Identitätsdienst konfigurierten Ablaufdatum liegt. Es können jedoch weiterhin Probleme auftreten, wenn sich das Ablaufdatum des Tokens dynamisch ändert.

  9. Wählen Sie eine Option in der Einstellung Benutzerzuordnung aus Identitätsdienst, um zu festzulegen, welches Attribut vom SAML-Token den Jamf Pro Benutzern zugewiesen werden soll:
    • NameIDStandard-Attributname
    • Benutzerdefiniertes AttributHiermit können Sie einen benutzerdefinierten Attributnamen eingeben, der dem vom Identitätsdienst bereitgestellten SAML-Token hinzugefügt wird
  10. Klicken Sie auf Benutzername oder E-Mail für Benutzerzuordnung von Jamf Pro.

    Mit diesen Optionen bestimmen Sie, wie im Identitätsdienst hinterlegte Benutzer den Benutzern in Jamf Pro zugeordnet werden sollen. Die Benutzerinformationen werden von Jamf Pro standardmäßig aus dem Identitätsdienst abgerufen und mit in Jamf Pro vorhandenen Benutzeraccounts abgeglichen. Wenn der übermittelte Benutzeraccount in Jamf Pro nicht vorhanden ist, findet ein Abgleich anhand des Gruppennamens statt.

  11. Geben Sie in das Feld Attributname für Identitätsdienst-Gruppe das SAML-Assertion-Attribut ein, mit dem Benutzer im Identitätsdienst bestimmt werden.

    Die Gruppennamen werden von Jamf Pro mit den Gruppen in der Jamf Pro Datenbank abgeglichen. Jeder Benutzer erhält Zugriffsberechtigungen von allen Gruppen auf gleiche Weise wie ein lokaler Jamf Pro Benutzer. AttributeValue-Zeichenfolgen können als mehrere Zeichenfolgen, eine einzelne Zeichenfolge oder durch Strichpunkte getrennte Werte formatiert werden.

    Example:http://schemas.xmlsoap.org/claims/Group
  12. (Optional) Mit dem Feld RDN-Schlüssel für die LDAP-Gruppe wird der Name der Gruppe aus Zeichenfolgen extrahiert, die im LDAP-Format als definierte Namen (DN) angegeben sind.

    Die übermittelte Zeichenfolge wird von Jamf Pro mit dem angegebenen Schlüssel nach einem relativen definierten Namen (RDN) durchsucht. Der Wert des RDN-Schlüssels wird als tatsächlicher Name der Gruppe verwendet.

    Note:

    Wenn die vom Verzeichnisdienst übermittelte Zeichenfolge mehrere RDN-Komponenten mit demselben Schlüssel (z. B. CN=Administrators, CN=Users, O=YourOrganization) enthält, werden von Jamf Pro die Gruppennamen aus dem ersten RDN-Schlüssel extrahiert (z. B. CN=Administrators). Wenn das Feld RDN-Schlüssel für die LDAP-Gruppe leer bleibt, verwendet Jamf Pro die gesamte LDAP-Format-Zeichenfolge.

  13. (Optional) Klicken Sie auf das Markierungsfeld Sicherheit und dann auf eine Jamf Pro Signierungszertifikat Option, um sichere SAML-Kommunikation einzurichten:
    • Zertifikat generierenHiermit können Sie ein Signierungszertifikat erstellen, falls Sie kein eigenes haben.
    • Zertifikat hochladenHiermit können Sie Ihr eigenes Signierungszertifikat hochladen. Wenn Sie das Jamf Pro Signierungszertifikat hochladen, müssen Sie einen Signierungszertifikat-Keystore (.jks- oder .p12-Datei) mit einem privaten Schlüssel hochladen, um SAML-Tokens zu signieren und zu verschlüsseln. Anschließend geben Sie das Passwort für die Keystore-Datei ein, wählen den Alias des privaten Schlüssels aus und geben dann das Schlüssel-Passwort ein.
    Note:

    Für einige Identitätsdienste müssen Sie möglicherweise das Zertifikat herunterladen und es den Konfigurationseinstellungen für den Identitätsdienst hinzufügen.

  14. (Optional) Klicken Sie auf Single-Sign-On-Optionen für Jamf Pro, um die folgenden zusätzlichen Optionen zu konfigurieren:
    • Benutzern erlauben, die Single-Sign-On-Authentifizierung zu umgehen

      Damit können sich Benutzer bei Jamf Pro ohne SSO anmelden, wenn sie direkt zur Jamf Pro URL navigieren. Wenn ein Benutzer versucht, über Ihren Identitätsdienst auf Jamf Pro zuzugreifen, wird er weiterhin vom Identitätsdienst per Single Sign-On authentifiziert und autorisiert.

    • Single-Sign-On für Self Service für macOS aktivierenHiermit können sich Benutzer über die Anmeldeseite des Identitätsdienstes bei Self Service anmelden. Self Service kann auf alle beim Identitätsdienst hinterlegten Benutzernamen zugreifen.
      Note:

      • Durch Aktivieren der Option wird der Authentifizierungsart in Einstellungen > Self Service > macOS > Anmeldung automatisch zu Single Sign-On geändert.

      • Durch Deaktivieren der Option wird der Authentifizierungsart in Einstellungen > Self Service > macOS > Anmeldung automatisch zu Verzeichnisdienstaccount oder Jamf Pro Benutzeraccount geändert.

      • FIDO2 muss über Ihren Identitätsdienst konfiguriert und in Jamf Pro aktiviert werden.

    • Single Sign-On für Benutzerauthentifizierung bei Registrierung aktivieren

      Benutzer können sich über die Anmeldeseite ihres Identitätsdiensts bei der benutzerinitiierten Registrierung, der accountbasierten Benutzerregistrierung und der accountbasierten Geräteregistrierung registrieren. Bei Aktivierung dieser Option entspricht der auf der Anmeldeseite des Identitätsdienstes verwendete Benutzername dem Benutzernamen, der von Jamf Pro während der Aktualisierung der Bestandsdaten für einen Computer oder ein Mobilgerät unter „Benutzer und Standort“ in das Feld Benutzername eingefügt wird. Klicken Sie auf Beliebiger Benutzer aus Identitätsdienst, um den Zugriff allen Benutzern beim Identitätsdienst zu gewähren, oder auf Nur diese Gruppe, um nur bestimmten Benutzergruppen Zugriff zu gewähren.

      Note:

      • Wenn ein Verzeichnisdienst in Jamf Pro integriert ist, werden die Benutzer- und Standortdaten über eine Abfrage von Jamf Pro vom Verzeichnisdienst vollständig ausgefüllt.

      • Ohne integrierten Verzeichnisdienst in Jamf Pro werden dagegen nur die Informationen im Feld Benutzername in der Kategorie „Benutzer und Standort“ eingefügt. Ein Benutzerabgleich ist während der Registrierung nicht möglich.

  15. Klicken Sie auf Speichern .
  16. (Optional) Klicken Sie auf Herunterladen , um die Jamf Pro Metadaten-XML-Datei herunterzuladen.
    Bei einigen Identitätsdiensten müssen Sie die Metadaten-Datei hochladen, um SAML richtig zu konfigurieren. Die Datei enthält mehrere wichtige URLs für den Identitätsdienst zur Weiterleitung des Benutzers und zur Überprüfung für Jamf Pro.

    • EntityDescriptor: jamfproURI/saml/metadata

    • SingleLogoutService: jamfproURI/saml/SingleLogout

    Für andere Identitätsdienste sind nur minimale Metadaten erforderlich, ohne dass die Metadaten-Datei benötigt wird. Dies beschleunigt die Einrichtung, da alle erforderlichen Informationen automatisch im System bereitgestellt werden.

Die Benutzer werden nun automatisch zur Anmeldeseite Ihres Identitätsdienstes weitergeleitet und können auf die konfigurierten Jamf Pro Ressourcen zugreifen.