La fenêtre d’ouverture de session Jamf Connect peut être utilisée par une application OIDC pour limiter l’accès ou les droits d’administrateur local aux utilisateurs en fonction de la composition du groupe. Si l’API d’authentification Okta réussit à authentifier l’utilisateur auprès de l’application, cela signifie qu’il est membre du groupe et se voit alors accorder l’autorisation.
En outre, l’utilisation de la fenêtre d’ouverture de session Jamf Connect à cette fin n’est prise en charge que lorsque l’option Fournisseur d’identité (OIDCProvider) est définie sur Okta dans votre configuration de Jamf Connect. Si l’option Fournisseur d’identité (OIDCProvider) est définie sur Okta-OIDC ou OktaIdentityEngine, consultez la section Réglages du rôle utilisateur OpenID Connect pour en savoir plus sur les options Rôles administrateur (OIDCAdmin) et Groupe d’accès secondaire (OIDCSecondaryAccess).
Trois autorisations peuvent être accordées :
- Identifiant client d’accès
OIDCAccessClientID - Spécifie l’application OIDC à utiliser pour les utilisateurs autorisés à créer un compte ou à se connecter aux ordinateurs.
- Identifiant client de l’administrateur
OIDCAdminClientID - Spécifie l’application OIDC à utiliser pour les utilisateurs créés comme administrateurs locaux lors de la création de compte.
- Identifiant client de connexion secondaire
OIDCSecondaryLoginClientID - Spécifie l’application OIDC à utiliser pour les utilisateurs autorisés à créer des utilisateurs supplémentaires sur les ordinateurs après la création du premier compte. Ce réglage permet à un groupe d’utilisateurs de créer des comptes d’utilisateurs supplémentaires (par exemple, les membres du service informatique effectuant des tâches administratives ponctuelles) et empêche les utilisateurs non autorisés d’utiliser l’équipement 1:1 attribué à une autre personne.
Vérifier le statut de l’option
DenyLocal.S’il n’existe pas ou n’est pas défini, consultez la base de données des utilisateurs macOS locaux. Si le compte existe, authentifiez l’utilisateur localement. Conservez les autorisations du compte existant.
S’il existe, poursuivez le processus et authentifiez l’utilisateur auprès du locataire Okta à l’aide de l’API d’authentification Okta.
Utiliser le jeton d’accès utilisé lors de l’authentification au locataire Okta pour déterminer :
S’il est défini, est-ce que l’utilisateur peut s’authentifier auprès de l’app Identifiant client d’accès (
OIDCAccessClientID)?S’il est défini, est-ce que l’utilisateur peut s’authentifier auprès de l’app Identifiant client de connexion secondaire (
OIDCSecondaryClientID) et existe-t-il un compte d’utilisateur local avec un mot de passe local ?S’il est défini, est-ce que l’utilisateur peut s’authentifier auprès de l’app Identifiant client de l’administrateur (
OIDCAdminClientID) ?
En outre, l’utilisation des applications restreintes est facultative et il est possible de définir une ou plusieurs applications, en fonction des exigences de connexion de votre organisation.
Tous les utilisateurs doivent être des utilisateurs standard. Définissez une app à utiliser pour Identifiant client d’accès (OIDCAccessClientID). Affectez un groupe de membres de l’équipe du centre d’appel à l’app dans Okta. Seuls les utilisateurs affectés à cette app pourront se connecter à un Mac et créer un compte sur n’importe quel ordinateur. Aucun utilisateur ne deviendra administrateur.