Ajout d’une réclamation de groupe aux jetons d’identification OIDC

Documentation Jamf Connect
Solution
Application
Jamf Connect
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR

Les groupes peuvent être utilisés pour déterminer si un utilisateur doit détenir des droits d’administrateur sur un compte macOS local ou si un utilisateur est autorisé à créer des comptes utilisateur supplémentaires sur un appareil via les options Admin Roles (Rôles administrateur) (OIDCAdmin) et Secondary Access Group (Groupe d’accès secondaire) (OIDCSecondaryAccess), respectivement.

Requirements

  • Accédez à la console d’administration Okta Identity Engine ou Okta Classic Engine de votre organisation.

  • Une intégration d’app Okta avec OpenID Connect 2.0.

  1. Connectez-vous à la console d’administration Okta.
  2. Accédez à Applications.
  3. Sélectionnez votre application Jamf Connect.
  4. Accédez à OpenID Connect ID Token (Jeton d’identification OpenID Connect) dans l’onglet Sign in (Se connecter).
  5. Cliquez sur Edit (Modifier).

    Un jeton d’identification OpenID Connect peut contenir jusqu’à 100 groupes. Si certains des utilisateurs de votre organisation appartiennent à plus de 100 groupes, utilisez les options de filtre d’Okta.

  6. Pour envoyer tous les groupes Okta :
    1. Définissez la valeur Groups claim type (Type de réclamation des groupes) sur Filter (Filtre).
    2. Dans le champ Group claims filter (Filtre de réclamation des groupes), définissez le nom de la réclamation sur groupes. Définissez le type de filtre sur Matches regex (Correspond à l’expression régulière). Définissez l’expression du filtre sur .*.
    3. Cliquez sur Save (Enregistrer).
  7. Pour envoyer tous les groupes Okta et tous les groupes Active Directory sur site associés :
    1. Définissez la valeur Groups claim type (Type de réclamation des groupes) sur Expression.
    2. Dans le champ Group claims filter (Filtre de réclamation des groupes), définissez le nom de la réclamation sur groupes. Définissez l’expression sur Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ? Groups.startsWith("OKTA","",100) : Arrays.flatten(Groups.startsWith("OKTA","",100),Groups.startsWith("active_directory","",100)).
    3. Cliquez sur Save (Enregistrer).
  8. Dans votre configuration de Jamf Connect, l’option Périmètres OpenID Connect (OIDCScopes) doit être définie sur openid+profile+email+groups. (Okta exige l’utilisation de délimiteurs dans la demande de périmètre.)

Votre configuration Okta OIDC peut désormais déterminer si un utilisateur doit détenir des droits d’administrateur sur un compte macOS local ou si un utilisateur est autorisé à créer des comptes utilisateur supplémentaires sur un appareil via les groupes Okta et Active Directory.

Pour plus d’informations relatives aux filtres de langage d’expression Okta, consultez la documentation Group functions (Fonctionnalités des groupes) (okta Developer).