Adición de una conexión SSO

Documentación de Jamf Account
Solution
Application
Content Type
Documentación técnica
Utilities & Services
ft:locale
es-ES

Una vez que haya creado una app OIDC en su proveedor de identidades (IdP) y haya verificado el dominio de inicio de sesión único (SSO), deberá añadir una conexión SSO a Jamf Account.

Si necesita actualizar la región o el tipo de conexión en el futuro, debe eliminar la conexión SSO y crear una nueva en Jamf Account.
Aviso:

Si actualmente ha iniciado sesión en una app de Jamf con la conexión IdP que va a eliminar, no cierre la sesión antes de establecer una nueva conexión, o asegúrese de que disponga de otro método para iniciar sesión, como ID de Jamf.

Requisitos

Debe cumplir los Requisitos para el SSO generales.

  1. Vaya a Organization (Organización) > SSO y haga clic en New Connection (Nueva conexión).
  2. En Connection Settings (Ajustes de conexión), haga clic en el menú desplegable Connection Type (Tipo de conexión) y seleccione la opción correspondiente para su IdP:
    • Microsoft Entra ID
      Seleccione Entra o Generic OIDC (OIDC genérico) en función del siguiente requisito de permiso:

      • Si su organización puede conceder el permiso Directory.Read.All, seleccione "Entra".

      • Si su organización no puede conceder el permiso Directory.Read.All, elija "Generic OIDC (OIDC genérico)".

      Nota:Tenga en cuenta lo siguiente al trabajar con Microsoft Entra ID:

      • Jamf recomienda usar el tipo de conexión Entra en la mayoría de los entornos. Si necesita ayuda para saber cuál es el tipo de conexión que más le conviene a su entorno, póngase en contacto con Soporte de Jamf.

      • Si se selecciona el OIDC genérico, los nombres de los grupos cambian por omisión a los GUID de Entra ID en lugar de a los nombres visibles. Asegúrese de que los nombres de los grupos coinciden con los GUID de Entra ID.

      Rellene los siguientes campos obligatorios con valores de su IdP:

      • ID de cliente

      • Valor de Secreto de cliente

      • (Solo para el tipo de conexión de Entra) Dominio de Microsoft Entra ID

      • (Solo para el tipo de conexión de Entra) Dominio de inquilino

      • (Solo para el tipo de conexión de OIDC genérico) URL de emisor

      Nota:

      Tenga en cuenta lo siguiente al introducir valores de IdP:

      • En «URL de emisor», introduzca la URL del «OpenID Connect Metadata Document» (Documento de metadatos de OpenID Connect) de Entra ID. En el caso de los inquilinos comerciales de Entra ID, esta URL debe tener este formato: https://login.microsoftonline.com/{TENANT_ID}/v2.0/.well-known/openid-configuration.

      • Seleccione Get User Groups (Obtener grupos de usuarios) en Attributes (Atributos) para usar un nombre de grupo en «Cuentas y grupos de usuarios de Jamf Pro» para asignar privilegios.

      Si quiere más información, consulte Ajustes de conexión de Microsoft Entra ID en Jamf Account.

    • Okta
      Elija "Okta" y rellene los siguientes campos obligatorios con valores de su IdP:

      • ID de cliente

      • Valor de Secreto de cliente

      • Dominio de Okta

      • + Añadir ámbito (opcional)
        Nota:

        Modifique el valor a: email openid profile groups

      • + Añadir asociaciones personalizadas (opcional)

        Nota:Las asociaciones personalizadas están disponibles cuando se edita una conexión, pero no durante la creación de la conexión. Primero debe activar las prestaciones avanzadas en Organización > Ajustes. Jamf aplica una plantilla de asociaciones para su conexión de Okta con el fin de garantizar que los grupos funcionen correctamente. Los cambios en las asociaciones pueden impedir el funcionamiento de los grupos.

      Si quiere más información, consulte Ajustes de conexión de Okta en Jamf Account.

    • Google Identity
      Elija "Google Workspace" y rellene los siguientes campos obligatorios con valores de su IdP:

      • URL de emisor

      • ID de cliente

      • Valor de Secreto de cliente

      Si quiere más información, consulte Ajustes de conexión de Google Identity en Jamf Account.

    • OneLogin
      Elija "Generic OIDC (OIDC genérico)" y llene los siguientes campos obligatorios con valores de su IdP:

      • URL de emisor

      • ID de cliente

      • Valor de Secreto de cliente

      Si quiere más información, consulte Configuración de OneLogin para la integración del SSO con Jamf Account.

    • JumpCloud.
      Elija "Generic OIDC (OIDC genérico)" y llene los siguientes campos obligatorios con valores de su IdP:

      • URL de emisor

      • ID de cliente

      • Valor de Secreto de cliente

      Si quiere más información, consulte Configuración de JumpCloud para la integración del SSO con Jamf Account.

    • PingOne
      Elija "Generic OIDC (OIDC genérico)" y llene los siguientes campos obligatorios con valores de su IdP:

      • URL de emisor

      • ID de cliente

      • Valor de Secreto de cliente

      Si quiere más información, consulte Configuración de PingOne para la integración del SSO con Jamf Account.

  3. En Opciones de sesión, introduzca la duración de sesión y el tiempo de espera de inactividad que prefiera.
    Nota:

    Se aplica a Jamf Protect y Jamf Account.

  4. En Associated Domains (Dominios asociados), seleccione el dominio del IdP que se había verificado anteriormente.
    Nota:

    Tenga en cuenta lo siguiente al trabajar con dominios.

    • Hay que establecer al menos un dominio al guardar una conexión en Jamf Account.

    • Si quiere configurar varios IdP para el mismo dominio, primero debe activar las prestaciones avanzadas en Organización > Ajustes. En las páginas de inicio de sesión de las apps seleccionadas se mostrará un selector de conexiones IdP. Asegúrese de que sus conexiones estén claramente etiquetadas.

    • Los usuarios no verificados tienen dominios de correo que no coinciden con el dominio verificado de su organización. Si quiere que esos usuarios accedan a Jamf Account con sus credenciales de IdP o si esos usuarios no deberían estar asignados a su organización, puede eliminarlos en la página Users & contacts (Usuarios y contactos).

  5. Seleccione las aplicaciones que usarán esta conexión.
  6. Copie la URL de devolución de llamada para añadirla a su propio IdP.
  7. Haga clic en Save (Guardar).

    La configuración de IdP se guardará y los contactos de la cuenta se verificarán.

La conexión de inicio de sesión único (SSO) ya estará lista para usarse. La conexión de SSO permite que los usuarios configurados en el IdP inicien sesión mediante SSO para todas las aplicaciones de Jamf activadas.

Nota:

Los usuarios que quieran seguir iniciando sesión en las aplicaciones de Jamf con un ID de Jamf deben hacer clic en Continue with Jamf ID (Continuar con ID de Jamf).

Se deben configurar funciones y permisos de autorización de usuarios específicos en cada aplicación de Jamf.