Réglages d’authentification Self Service+

Documentation Jamf Connect
Solution
Application
Jamf Connect
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR
  • Domainecom.jamf.connect
  • DictionnaireIdPSettings
  • Description

    Utilisé pour autoriser Self Service+ (anciennement la barre de menus de l’app Jamf Connect) à finaliser l’authentification entre votre IdP et les comptes locaux. Les réglages requis varient selon le fournisseur d’identité (IdP).

Réglage

Description

Fournisseur d’identité

Provider

(Requis) Spécifie le nom de votre fournisseur d’identité dans le cloud. Les valeurs suivantes sont prises en charge :

  • Entra ID (anciennement Azure)
  • IBMCI
  • GoogleID
  • Okta
  • OktaIdentityEngine
  • Authentification OIDC d’Okta
  • OneLogin
  • PingFederate
  • Personnalisé
<key>Provider</key>
<string>Azure</string>

Serveur d’authentification Okta

OktaAuthServer

(Requis : Okta Classic Engine ou Okta Identity Engine) Spécifie le domaine Okta de votre organisation ou le serveur d’autorisation personnalisé. Le préfixe « https:// » est facultatif pour les domaines.

<key>OktaAuthServer</key>
<string>your-company.okta.com</string>

Identifiant client

ROPGID

(Requis : OpenID Connect uniquement) Spécifie l’identifiant client utilisé par votre app Self Service+ auprès de votre fournisseur d’identité (IdP). Cette valeur permet à Self Service+ d’effectuer une autorisation par mot de passe du propriétaire de la ressource (ROPG), le processus qui réalise la vérification du mot de passe.

<key>ROPGID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

URL de découverte

DiscoveryURL

Spécifie le point de terminaison de découverte OpenID Connect de votre fournisseur d’identité (IdP). Cette valeur s’affiche dans le format suivant : https://domain.url.com/.well-known/openid-configuration

Si vous utilisez AD FS, cette valeur correspond à votre domaine AD FS suivi de : /adfs/.well-known/openid-configuration/

Note:

Ce réglage est requis si l’option Fournisseur d’identité (OIDCProvider) est définie sur Custom ou PingFederate.

<key>DiscoveryURL</key>
<string>https://domain.url.com/.well-known/openid-configuration</string>

Identifiant du locataire

TenantID

Spécifie l’identifiant du locataire de votre organisation utilisé pour l’authentification.

Note:

Si IBM Security Verify est votre fournisseur d’identité (IdP), cette valeur est requise et correspond au nom du locataire utilisé dans votre URL IBM (p. ex. https://nomentreprise.ibmcloud.com).

<key>TenantID</key>
<string>companyname</string>

Modifier l’URL du mot de passe

ChangePasswordURL

Spécifie une URL qui ouvre une page Web prise en charge par votre fournisseur d’identité (IdP), dans laquelle les utilisateurs peuvent modifier leur mot de passe.

Note:

Si Entra ID est votre fournisseur d’identité (IdP), l’URL par défaut est https://mysignins.microsoft.com/security-info/password/change.

Si Okta est votre IdP, l’URL par défaut est le domaine indiqué pour la clé de préférence Serveur d’authentification Okta (OktaAuthServer), suivi de /enduser/settings.

Si Google Identity est votre fournisseur d’identité (IdP), Jamf recommande d’utiliser l’URL suivante : https://myaccount.google.com/intro/signinoptions/password

Les organisations disposant d’environnements Entra ID, Okta ou Google Identity plus personnalisés peuvent utiliser des URL personnalisées. 

<key>ChangePasswordURL</key>
<string>https://IDP_EXAMPLE.com/.well-known/change-password</string> 

Réinitialiser l’URL du mot de passe

ResetPasswordURL

Spécifie une URL qui ouvre une page Web prise en charge par votre fournisseur d’identité (IdP) dans laquelle les utilisateurs peuvent réinitialiser leur mot de passe, en cas d’oubli.

Note:

Si Entra ID est votre fournisseur d’identité (IdP), l’URL par défaut est https://passwordreset.microsoftonline.com/.

Si Okta est votre fournisseur d’identité (IdP), l’URL par défaut est le domaine indiqué pour la clé de préférence Serveur d’authentification Okta (OktaAuthServer), suivi de /signin/forgot-password.

Si Google Identity est votre fournisseur d’identité (IdP), Jamf recommande d’utiliser l’URL suivante : Récupération de compte (Google)

Les organisations disposant d’environnements Entra ID, Okta ou Google Identity plus personnalisés peuvent utiliser des URL personnalisées. 

<key>ResetPasswordURL</key>
<string>https://IDP_EXAMPLE.com/.well-known/change-password</string>

Secret du client

ClientSecret

Spécifie le secret du client utilisé par votre app Self Service+ dans votre fournisseur d’identité (IdP).

<key>ClientSecret</key>
<string>yourClientSecret</string>

Périmètres

Scopes

Spécifie les périmètres OIDC personnalisés qui renvoient des réclamations supplémentaires dans le jeton d’identification d’un utilisateur lors de l’autorisation. Les périmètres standard incluent openid, profile et offline_access. Si vous utilisez plusieurs périmètres, ajoutez un « + » pour les séparer.

<key>Scopes</key>
<string>openid+profile</string>

Codes de succès de la vérification du mot de passe

SuccessCodes

Spécifie un tableau de chaînes de caractères contenant des codes d’erreur de votre fournisseur d’identité (IdP) lors d’une vérification de mot de passe ROPG, qui doit être interprétée comme réussie par Self Service+.

Pour connaître les codes d’erreur possibles à configurer dans votre environnement, consultez la documentation Codes d’erreur d’authentification et d’autorisation Microsoft Entra de Microsoft.

Si vous utilisez OneLogin et une authentification multifacteur dans votre environnement, définissez cette clé sur MFA.

<key>SuccessCodes</key>
<array>
<string>AADSTS50012</string>
<string>AADSTS50131</string>
</array>

Fichier de licence

LicenseFile

Spécifie le contenu d’un fichier de licence Jamf Connect encodé au format de données Base64. Les fichiers de licence sont disponibles depuis Jamf Account.

<key>LicenseFile</key>
<data>encoded-license-content</data>

Attribut de l’administrateur

OIDCAdminAttribute

Définit l’attribut à utiliser dans le réglage Rôle des privilèges accordés à l’utilisateur (UserPromotionRole) pour la fonctionnalité Élévation de privilèges. Par défaut, Self Service+ utilise l’attribut groupes pour trouver toutes les valeurs spécifiées dans le réglage Rôles administrateur (OIDCAdmin).

Note:

Si vous utilisez Microsoft Entra ID, définissez cette valeur sur roles. Si vous utilisez Google Identity, les rôles utilisateurs ne peuvent pas être définis à l’aide d’un jeton d’authentification.

Lorsque vous configurez le réglage Attribut de l’administrateur (OIDCAdminAttribute) manuellement, ajoutez-le au dictionnaire IdPSettings plutôt qu’au dictionnaire TemporaryUserPermissions.

<key>OIDCAdminAttribute</key>
<string>groups</string>