Si quiere activar el SSO basado en SAML para usuarios finales, debe configurar ajustes en la consola de su IdP y en Jamf Pro.
Debe configurar los ajustes de su IdP antes de activar SSO en Jamf Pro. En algunos entornos, es necesario configurar su IdP y Jamf Pro simultáneamente.
Note:
Activar el SSO para servicios y aplicaciones de Jamf Pro impide que los usuarios se autentiquen con las credenciales estándar y de directorio. Cuando esté activado, Jamf le recomienda que envíe una notificación a los usuarios cada vez que se produzcan cambios en la experiencia de autenticación de su organización.
Requirements
Integración con un proveedor de identidades (IdP) que admita protocolos SAML 2.0. Si quiere más información, consulte lo siguiente:
Artículos técnicos sobre el inicio de sesión único para:
Conectividad de TCP entre el servidor de Jamf Pro y el proveedor de identidades
Cuentas o grupos de usuarios de Jamf Pro con grupos o nombres de usuarios de IdP coincidentes
Privilegios de administrador para Jamf Pro y su IdP
Si va a activar la URL de reserva como opción para los usuarios para utilizarla con la finalidad de acceder a Jamf Pro y el SSO está activado, las cuentas de usuario de Jamf Pro necesitarán privilegios «Leer y actualizar» para la configuración de SSO en Jamf Pro. Si quiere más información, consulte Creación de una cuenta de usuario de Jamf Pro.
En Jamf Pro, haga clic en Ajustes en la barra lateral.
En la sección Sistema, haga clic en Inicio de sesión único .
Haga clic en Editar .
Seleccione Activar autenticación SSO para activar la configuración.
Realice una de las siguientes operaciones:
Si va a usar el SSO basado en OIDC en Jamf Account para el SSO de administrador, pero quiere activar el SSO basado en SAML para usuarios finales, seleccione Usar autenticación SAML para usuarios finales (mediante ajustes de IdP de Jamf Pro).
Si quiere usar el SSO basado en SAML para administradores y usuarios finales, seleccione Autenticación SAML.
Note:
En el cuadro URL de inicio de sesión de reserva, haga clic en Copiar a portapapeles y guarda la URL de inicio de sesión de reserva en un lugar seguro. Esta URL le permitirá iniciar sesión con sus credenciales de Jamf Pro una vez activado el SSO.
Elige su IdP en el menú desplegable Proveedor de identidades.
Si su IdP no aparece en la lista, seleccioe "Otro" e introduzca el nombre de su IdP en el campo Otro proveedor. El campo ID de entidad se prerrellena por omisión (p. ej., «https://JAMF_PRO_URL.jamfcloud.com/saml/metadata»).
Note:
En la mayoría de IdP, el valor ID de entidad debe coincidir con el valor Audience URI (URI de audiencia) en los ajustes de configuración del IdP.
Seleccione una opción para configurar el ajuste Origen de los metadatos del proveedor de identidades:
Archivo de metadatos —Le permite cargar un archivo de metadatos en formato XML.
URL de metadatos —Debe obtener esta URL desde los ajustes de configuración de su IdP (p. ej., «Audience URI» [URI de audiencia] o «Audience Restriction» [Restricción de audiencia]).
(Optional) (Solo en Okta) Active el ajuste Reemplazo de momento de caducidad de token si necesita reemplazar el periodo de caducidad de token por omisión.
Cuando se activa, el valor en minutos determina el tiempo hasta que caduca el token SAML. El campo está previamente rellenado con el valor por omisión determinado por Okta. Si reemplaza el valor por omisión, debe asegurarte de que el nuevo valor coincida con los ajustes de caducidad de token configurados en Okta.
El ajuste Reemplazo de momento de caducidad de token está definido como Desactivado por omisión en Okta, y se utiliza el periodo de caducidad por omisión.
Important:
Los usuarios finales o los usuarios de Jamf Pro que utilicen dispositivos inscritos pueden tener errores de inicio de sesión si el ajuste Reemplazo de momento de caducidad de token está activado. Para evitar estos errores, le puede convenir desactivar el ajuste Reemplazo de momento de caducidad de token. Esto impedirá que Jamf Pro verifique la vigencia del token, que será controlada y comprobada por su IdP. Opcionalmente, puede asegurarse de que la caducidad del token configurada en Jamf Pro supere el periodo de caducidad configurado por su IdP. Sin embargo, es posible que siga habiendo problemas si el periodo de caducidad del token cambia dinámicamente.
Seleccione una opción del ajuste Asociación de usuarios del proveedor de identidades para definir qué atributo del token SAML debe asociarse a los usuarios de Jamf Pro:
NameID —Nombre del atributo por omisión
Atributo personalizado —Le permite introducir un nombre de atributo personalizado que esté incluido en el token SAML enviado desde el IdP.
Haga clic en Nombre de usuario o Correo para Asociación de usuarios de Jamf Pro.
Estas opciones determinan cómo los usuarios de su IdP se asociarán a los usuarios de Jamf Pro. Por omisión, Jamf Pro obtiene información sobre el usuario del IdP y la compara con cuentas de usuario de Jamf Pro existentes. Si la cuenta de usuario entrante no existe en Jamf Pro, se busca en los nombres de los grupos.
Introduzca el atributo de afirmación SAML que define usuarios en el IdP en el campo Nombre del atributo de grupo del proveedor de identidades.
Jamf Pro busca en todos los grupos de la base de datos de Jamf Proy compara los nombres de grupo. Se concederán a todos los usuarios privilegios de acceso de todos los grupos igual que se haría con un usuario local de Jamf Pro. Se puede aplicar un formato de cadenas múltiples, de una sola cadena o de valores separados por puntos y comas a las cadenas AttributeValue.
Example:http://schemas.xmlsoap.org/claims/Group
(Optional) Use el campo Clave RND para grupo LDAP para extraer el nombre del grupo de las cadenas enviadas en formato LDAP de nombres distinguidos (DN).
Jamf Pro busca la cadena entrante para un nombre distinguido relativo (RDN) con la clave especificada y usa el valor de la clave RDN como nombre del grupo.
Note:
Si la cadena de servicio de directorio contiene varias partes RDN con la misma clave (p. ej., CN=Administrators, CN=Users, O=YourOrganization), Jamf Pro extraerá nombres de grupo de la primera clave RDN (p. ej., CN=Administrators). Si deja el campo Clave RND para grupo LDAP en blanco, Jamf Pro usará la cadena de formato LDAP entera.
(Optional) Seleccione la casilla Seguridad y elija una de las siguientes opciones Certificado de firma de Jamf Pro para establecer una comunicación con SAML segura:
Generar certificado —Le permite generar un certificado de firma si no proporciona uno propio.
Cargar certificado —Le permite cargar su propio certificado de firma. Si carga el certificado de firma de Jamf Pro, cargue un almacén de claves de certificado de firma (.jks o .p12) con una clave privada para firmar y cifrar tokens SAML, introduzca la contraseña del archivo de almacén de claves, seleccione un alias de clave privada e introduzca la contraseña de la clave.
Note:
Puede volver a cargar el certificado de firma de Jamf Pro si su certificado anterior está a punto de caducar. Asimismo, es posible que para algunos IdP tenga que descargar el certificado e incluirlo en los ajustes de configuración de su IdP.
(Optional) Haga clic en Opciones de inicio de sesión único de Jamf Pro para configurar las siguientes opciones adicionales:
Permitir que los usuarios omitan la autenticación de inicio de sesión único —
Permite que los usuarios inicien sesión en Jamf Pro sin SSO, si acceden directamente a la URL de Jamf Pro. Cuando un usuario intenta acceder a Jamf Pro a través de su IdP, se siguen produciendo la autorización y autenticación de SSO.
Activar el inicio de sesión único en Self Service para macOS —Permite que los usuarios inicien sesión en Self Service mediante la página de inicio de sesión del IdP. Self Service puede acceder a cualquier nombre de usuario existente del IdP.
Note:
Al activar esta opción, se cambia automáticamente el Tipo de autenticación en Ajustes > Self Service > macOS > Inicio de sesión a Inicio de sesión único (SSO).
Al desactivar esta opción, se cambia automáticamente el Tipo de autenticación en Ajustes > Self Service > macOS > Inicio de sesión a Cuenta del servicio de directorio o cuenta de usuario de Jamf Pro.
FIDO2 se debe configurar mediante su IdP y activarse en Jamf Pro.
Activar inicio de sesión único para la autenticación de usuario durante la inscripción —
Permite que los usuarios se inscriban mediante la página de inicio de sesión de su proveedor de identidades durante la inscripción iniciada por usuario, la Inscripción de Usuarios basada en cuenta y la Inscripción de dispositivos basada en cuenta. Cuando está activado, el nombre de usuario usado para la página de inicio de sesión del IdP será el nombre de usuario que Jamf Pro usará para el campo Nombre de usuario en la categoría «Usuario y ubicación» durante las actualizaciones de inventario. Puede hacer clic en Cualquier usuario de proveedor de identidades para permitir el acceso a todos los usuarios de su IdP, o bien hacer clic en Solo este grupo para restringir el acceso solo a un grupo determinado de usuarios.
Note:
Si hay un servicio de directorio integrado con Jamf Pro, la información de «Usuario y ubicación» se llenará íntegramente mediante una consulta de Jamf Pro dirigida al servicio de directorio.
Si un servicio de directorio no está integrado con Jamf Pro, el campo Nombre de usuario será el único ítem que se rellenará en la categoría «Usuario y ubicación». La consulta de usuarios no funcionará durante la inscripción.
Haga clic en Guardar .
(Optional) Haga clic en Descargar para descargar el archivo XML de metadatos de Jamf Pro.
Algunos IdP requieren que cargue el archivo de metadatos para configurar SAML correctamente. El archivo contiene varias URL importantes que indican al IdP dónde debe enviar a un usuario, además de cómo hacer la comprobación con Jamf Pro.
EntityDescriptor: jamfproURI/saml/metadata
SingleLogoutService: jamfproURI/saml/SingleLogout
No se requiere el archivo de metadatos para otros IdP. Esto permite una configuración más ágil, ya que el sistema proporciona toda la información necesaria automáticamente.
Los usuarios ahora son redirigidos automáticamente a la página de inicio de sesión del IdP de su organización para acceder a partes configuradas de Jamf Pro.