Integración de Microsoft Entra ID

Documentación de Jamf Pro 11.22.0
Solution
Application
Content Type
Documentación técnica
Utilities & Services
version
11.22.0
ft:locale
es-ES
vrm_version
11.22.0

La integración de Jamf Pro con Microsoft Entra ID como proveedor de identidades de la nube permite los siguientes procesos basados en directorio:

  • Consultar todos los usuarios y grupos a efectos de inventario

  • Consultar las pertenencias de los usuarios y usarlas para asociar privilegios a las cuentas pertinentes en Jamf Pro

  • Configurar la autenticación de usuario y definir ámbitos

Al integrar Jamf Pro con Entra ID, tenga en cuenta lo siguiente:

  • Debe tener un entorno alojado en Jamf Standard Cloud o en Jamf Premium Cloud.

  • Necesita privilegios de Entra ID de administrador global para gestionar el consentimiento solicitado por la app empresarial Jamf Pro Entra ID Connector.

  • Los grupos de usuarios añadidos en Jamf Pro que tengan el mismo nombre que los grupos definidos en Entra ID. Las cuentas y grupos añadidos en Jamf Pro deben ser de tipo estándar.

  • Al trabajar con procesos relacionados con directorios (p. ej., añadir limitaciones y exclusiones de ámbito), los ítems de identidad de nube de Entra ID se enumeran bajo las cabeceras Servicio de Directorio.

  • Jamf Pro puede experimentar problemas de rendimiento si se incluyen demasiados grupos de IdP de nube en el ámbito de un objeto. Si necesita usar varios criterios en un ámbito, estudie la posibilidad de crear un grupo inteligente con esos criterios y usar después ese grupo inteligente como ámbito.

Entra ID como integración de IdP de nube usa la API Microsoft Graph y conexiones con el dominio de Microsoft Graph. Junto con el consentimiento concedido por el administrador a través del Cloud Connector, esto garantiza que los datos del directorio se pasen y se usen automáticamente en los procesos de directorio de Jamf Pro. En Entra ID no se ejecutan más acciones que la lectura de los datos.

Al configurar la conexión de la API Graph entre Jamf Pro y Entra ID, se requieren privilegios de usuario de administrador global para la autenticación. Tras una autenticación correcta, se añade automáticamente una aplicación para Jamf Pro en Entra ID para usar la API Graph. Esto significa que no hace falta crear manualmente la aplicación en Entra ID. Una vez añadida la aplicación, se cierra la sesión. Cuando Jamf Pro realiza búsquedas en Entra ID, está en un estado de solo lectura. Jamf Pro no puede escribir datos en Entra ID.

El siguiente diagrama muestra la integración típica del proceso de Jamf Pro y el IdP de Entra ID:

Después de recibir el consentimiento, la aplicación web Cloud Connector hace una autorización de un identificador de cliente dado y del identificador de instancia recibido con respecto a la terminal de autorización de Entra ID. Como resultado, Entra ID responde con un código de autorización. Este código se devuelve con el identificador de instancia a Jamf Pro. Una vez que Jamf Pro recibe el conjunto de datos de la aplicación web Cloud Connector, verifica el código de autorización recibido. Si no hay problemas con el conjunto de datos, la configuración se guarda. Este enfoque se asegura de que Jamf Pro limita el uso de sus datos del inquilino de Entra ID solo al cliente/aplicación permitido.

La versión de TLS usada para proteger datos en tránsito es 1.2 o superior con confidencialidad directa perfecta (Perfect Forward Secrecy, PFS). Jamf Pro siempre intentará negociar el protocolo más elevado en primer lugar.

Para crear la conexión, se requiere el siguiente conjunto de permisos para la aplicación Jamf Pro:

  • Iniciar sesión y leer el perfil de usuario

  • Leer datos del directorio

Se requiere el siguiente conjunto de permisos para la aplicación:

  • GroupMember.Read.All (aplicación)

  • User.Read (delegado)

  • User.Read.All (aplicación)

Cuando la conexión con Entra ID está activada, Jamf Pro puede enviar consultas de información del directorio desde Entra ID. El siguiente diagrama muestra el flujo típico de las consultas de datos del directorio.

Cuando el administrador inicializa la consulta del directorio, Jamf Pro solicita un token de acceso de Entra ID mediante el proceso Client Credentials (Credenciales de cliente). Una vez concedido el token, Jamf Pro envía consultas de datos del directorio a través de la API Microsoft Graph. Tras verificar correctamente al cliente, se devuelve un conjunto de datos. Jamf Pro asocia estos datos a un objeto que se puede usar después en los procesos de directorio de Jamf Pro. Si quiere más información sobre la API de REST de Microsoft Graph, consulte Referencia del punto de conexión de la API de REST v1.0 de Microsoft Graph.