Réglages avancés de l’authentification de la connexion

Documentation Jamf Connect

Solution
Application: Jamf Connect
Content Type: Documentation technique
Utilities & Services
ft:locale: fr-FR

Domaine —com.jamf.connect.login
Description —
Utilisés pour configurer les réglages d’authentification avancés et utiliser des réclamations personnalisées dans un jeton d’identification.


Réglage	Description
Serveur d’autorisation personnalisé Okta `OIDCAuthServer`	(Okta uniquement) Spécifie un serveur d’autorisation personnalisé dans votre locataire Okta, qui peut être utilisé pour envoyer des périmètres et des réclamations personnalisés dans le jeton d’identification d’un utilisateur (stocké via le réglage `OIDCIDTokenPath`) lors de la création d’un compte local. Pour définir cette valeur, utilisez l’identifiant du serveur d’autorisation personnalisé, qui se trouve sous forme de chaîne à la fin de l’URI de l’émetteur de votre serveur d’autorisation personnalisé. Dans l’URI d’émetteur ci-dessous, `abc9o8wzkhckw9TLa0h7z` est l’identifiant du serveur d’autorisation. Example:`https://votre-serveur-d-autorisation-personnalisé.okta.com/oauth2/abc8o8wzjhckw` Pour utiliser ce réglage, vous devez créer une intégration d’app dans Okta afin de définir les rôles utilisateur pour le réglage (`OIDCAccessClientID`). Note: Ce réglage ne doit être utilisé que si votre locataire Okta dispose d’un serveur d’authentification distinct qui gère les apps OpenID Connect et les attributs des jetons d’identification. Si la valeur de ce réglage est la même que celle de votre locataire principal utilisé avec le réglage Serveur d’authentification (`AuthServer`), l’authentification avec Okta peut générer des erreurs inattendues. `<key>OIDCAuthServer</key> <string>abc8o8wzjhckw9TLa0t8q</string>` Pour plus d’informations sur la création d’un serveur d’autorisation personnalisé, consultez la documentation Create an authorization server (Créer un serveur d’authentification) du site Web pour les développeurs Okta.
Ignorer les cookies `OIDCIgnoreCookies`	Ignore les cookies stockés par l’application de la fenêtre d’ouverture de session. `<key>OIDCIgnoreCookies</key> <false/>`
Périmètres OpenID Connect. `OIDCScopes`	Spécifie les périmètres personnalisés qui renvoient des réclamations supplémentaires dans le jeton d’identification d’un utilisateur lors de l’autorisation. Les périmètres standard incluent `openid`, `profile` et `offline_access`. Si vous utilisez plusieurs périmètres, ajoutez un « + » pour les séparer. `<key>OIDCScopes</key> <string>openid+profile</string>`
Nom complet `OIDCFullName`	Spécifie une réclamation différente et unique pour le nom complet, telle que `firstName`, `lastName`, ou une autre valeur personnalisée unique à votre environnement. Ce réglage remplace les attributs par défaut utilisés pour définir le nom complet d’un compte : `name`, `family_name/given_name` et `first/last`. `<key>OIDCFullName</key> <string>customName</string>`
Nom abrégé `OIDCShortName`	Spécifie la réclamation du jeton d’identification d’un utilisateur à utiliser comme nom de compte macOS local (nom abrégé). Le nom unique du réseau d’un utilisateur (préfixe UPN) est ajouté comme alias au compte local de l’utilisateur. Si le réglage Connecter les comptes locaux existants à un compte réseau (`Migrate`) est configuré, la valeur définie par le réglage Nom abrégé (`OIDCShortName`) s’affiche comme alias pour le compte utilisateur UNIX local existant. Ce réglage ne modifie pas le nom du compte local de l’utilisateur existant. Note: Si la réclamation que vous voulez utiliser n’est pas dans le jeton d’identification standard, vous pouvez recevoir des réclamations supplémentaires dans un jeton d’identification en spécifiant des réclamations supplémentaires avec la clé de préférence `OIDCScopes`. `<key>OIDCShortName</key> <string>given_name</string>`
Nom abrégé ROPG `OIDCROPGShortName`	Spécifie la réclamation d’un jeton d’identification à utiliser comme nom d’utilisateur au cours du processus d’authentification ROPG (vérification du mot de passe). Note: Si la réclamation que vous voulez utiliser n’est pas dans le jeton d’identification standard, vous pouvez recevoir des réclamations supplémentaires dans un jeton d’identification en spécifiant des réclamations supplémentaires avec la clé de préférence `OIDCScopes`. Ce réglage n’est utilisé que dans les environnements d’IdP complexes où l’IdP ne respecte pas les réclamations utilisées par Jamf Connect pour définir le nom d’utilisateur (par exemple `unique_name`, `preferred_username`, `email` et `sub`) au cours du workflow ROPG. `<key>OIDCROPGShortName</key> <string>given_name</string>`
Chemin du jeton d’identification formaté `OIDCIDTokenPath`	Spécifie le chemin d’accès qui peut être utilisé pour stocker le jeton d’identification formaté d’un utilisateur. Note: Ce réglage nécessite que le mécanisme RunScript soit activé. Pour plus d’informations, consultez la section Ajout d’un script d’ouverture de session. `<key>OIDCIDTokenPath</key> <string>/tmp/token</string>`
Chemin du jeton d’identification brut `OIDCIDTokenPathRaw`	Spécifie le chemin d’accès qui peut être utilisé pour stocker le jeton d’identification brut d’un utilisateur. Note: Ce réglage nécessite que le mécanisme RunScript soit activé. Pour plus d’informations, consultez la section Ajout d’un script d’ouverture de session. `<key>OIDCIDTokenPathRaw</key> <string>/tmp/token-raw</string>`
`UseUserInfo`	(PingFederate uniquement) Si cette option est activée (définie sur true), Jamf Connect peut demander des réclamations supplémentaires à un jeton utilisateur PingFederate. Ce réglage ne doit être utilisé que si vous émettez un jeton de référence géré en interne de PingFederate. Pour plus d’informations sur la gestion de PingFederate, consultez l’article OAuth configuration (Configuration OAuth) de PingIdentity. `<key>UseUserInfo</key> <false/>`