Configuration de l’élévation des privilèges macOS dans Self Service+

Documentation Jamf Connect
Solution
Application
Jamf Connect
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR
Vous pouvez configurer les réglages de l’élévation des privilèges dans l’app Jamf Connect Configuration de sorte à activer les autorisations temporaires accordées à l’utilisateur dans Self Service+. Ces réglages comprennent des limites concernant la durée et le nombre d’élévations, les types de vérification et les rôles pouvant accéder aux autorisations plus élevées. Pour obtenir la liste complète des réglages, consultez la section Réglages de l’élévation des privilèges.
Exigences
  • Accéder à l’app Jamf Connect Configuration

  • Un profil de configuration Jamf Connect existant

  • Rôles utilisateur configurés dans un fournisseur d’identité pris en charge si vous prévoyez de configurer les réglages d’élévation pour chaque rôle. Pour connaître les fournisseurs d’identité (IdP) pris en charge, consultez la section Intégrations aux fournisseurs d’identité Jamf Connect.

  1. Dans l’app Jamf Connect Configuration, cliquez sur l’onglet Connexion et accédez à la section Autorisations temporaires accordées à l’utilisateur.
  2. Sélectionnez Privilèges temporaires accordés à l’utilisateur.
  3. (Optionnel) Pour limiter l’élévation des privilèges à l’interface Self Service+ uniquement, sélectionnez Schéma URL et élévation de ligne de commande.
  4. (Optionnel) Pendant une élévation temporaire de privilèges, pour afficher un compte à rebours visuel dans le menu de l’utilisateur, activez l’option Minuteur des privilèges accordés à l’utilisateur.
  5. Pour configurer la durée (en minutes) d’une session utilisateur et le nombre d’élévations autorisées par mois, saisissez les valeurs correspondantes dans les champs Limite des privilèges accordés à l’utilisateur et Durée des privilèges accordés à l’utilisateur.
    Remarque :

    Les utilisateurs qui ajustent l’heure ou la date de leur système pour éviter les limites fixées par le réglage Limite des privilèges accordés à l’utilisateur (UserPromotionLimit) reçoivent un signalement d’altération de l’heure dans les journaux et ne pourront pas utiliser la fonctionnalité d’élévation temporaire des privilèges. Pour supprimer cet indicateur, utilisez la commande suivante : sudo defaults delete com.jamf.connect.state TimeTamperingDetected.

    Si vous configurez la vérification basée sur les rôles, la durée appliquée au rôle remplacera la durée définie dans Durée des privilèges accordés à l’utilisateur.

  6. (Optionnel) Pour configurer les réglages d’élévation des privilèges pour chaque groupe ou pour exiger une authentification avant l’élévation des privilèges, procédez comme suit :
    1. Sélectionnez Vérifier les privilèges accordés à l’utilisateur ou Vérifier les privilèges accordés à l’utilisateur via l’authentification FIDO2, selon votre méthode d’autorisation.
    2. Cliquez sur le bouton +.
    3. Dans le champ Rôle, saisissez le nom du groupe tel qu’il apparaît dans votre fournisseur d’identité (IdP), puis renseignez une limite de temps dans le champ Durée.
    4. Dans Attribut de l’administrateur, définissez l’attribut qui détermine le rôle dans les réglages de votre fournisseur d’identité.
    Remarque :

    Si vous ajoutez des rôles dans l’app Jamf Connect Configuration, mais que vous ne configurez pas ces rôles dans votre fournisseur d’identité ou que vous ne renseignez pas le champ Attribut de l’administrateur, l’élévation de privilèges échouera. Pour exiger une vérification sans configurer les différents réglages d’élévation pour chaque rôle, ne renseignez aucune valeur pour UserPromotionRole.

    Pour rendre l’élévation des privilèges indisponible pour un certain groupe d’utilisateurs, configurez les options Attribut de l’administrateur et Rôle des privilèges accordés à l’utilisateur, puis définissez le champ Durée sur 0.

  7. Dans Sélection du motif de l’élévation de privilèges, renseignez la liste des raisons pour l’élévation des privilèges sous forme de valeurs séparées par des virgules.
  8. Cliquez sur Enregistrer en haut de l’app Jamf Connect Configuration.

Les réglages d’élévation des privilèges sont alors configurés dans le profil de configuration et peuvent être déployés sur les appareils des utilisateurs.

Vous pouvez voir ci-dessous un exemple de configuration avec les réglages d’élévation des privilèges activés :

<dict>
	<key>TemporaryUserPermissions</key>
<!-- Enables the feature for user promotion in Self Service+ -->
<dict>
	<key>TemporaryUserPromotion</key>
            <true/>
<!-- Displays a countdown timer to the user in Self Service+ -->
            <key>UserPromotionTimer</key>
            <true/>
<!-- Duration in minutes for user to be promoted -->
            <key>UserPromotionDuration</key>
            <integer>5</integer>
<!-- Require a user authenticate to the identity provider before account privilege elevation is granted. -->
            <key>VerifyUserPromotion</key>
            <true/> 
<!-- Require the user to be a member of a specific group. Each role requires a separate duration -->
            <key>UserPromotionRole</key>
				<array>
                        <dict>
<!-- Duration is time in minutes and is defined in whole number integer values -->
						  <key>Duration</key>
                              <integer>8</integer>
<!-- Name is case sensitive and must match the role value exactly as emitted in the ID token's roles claim -->
						  <key>Name</key>
                              <string>IT Help Desk Staff</string>

<!--The attribute of the identity token containing the group value -->
 						  <key>OIDCAdminAttribute</key>
						  <string>roles</string>
<!-- Your IdP -->
						  <key>Provider</key>
						  <string>EntraID</string>
				     </dict>
 					<dict>
                              <key>Duration</key>
                              <integer>30</integer>
						  <key>Name</key>
						  <string>Xcode Developer Staff</string>
						  <key>OIDCAdminAttribute</key>
						  <string>roles</string>
 						  <key>Provider</key>
						  <string>EntraID</string>
                       </dict>
         </array>
<!-- Enforces a maximum number of times that a user can request rights in one calendar month -->
            <key>UserPromotionLimit</key>
            <integer>10</integer>
<!-- Requires the user to provide a reason for promotion which will be recorded in system logs -->
            <key>UserPromotionReason</key>
            <true/>
<!-- A list of default reasons for promotion.  An "other" field will be provided automatically with a 200 character maximum input limit. -->
            <key>UserPromotionChoices</key>
            	<array>
                  	<string>Hardware driver install</string>
                  	<string>Xcode software development</string>
                  	<string>General use</string>
             	</array>
	</dict>
</dict>