Réglages du rôle utilisateur OpenID Connect

Documentation Jamf Connect
Solution
Application
Jamf Connect
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR
  • Domainecom.jamf.connect.login
  • Description

    Utilisés pour configurer les rôles utilisateurs à partir des attributs des jetons d’identification reçus lors d’une authentification OpenID Connect

Réglage

Description

Attribut de l’administrateur

OIDCAdminAttribute

Spécifie quel attribut stocké dans un jeton d’identification est utilisé pour déterminer si un compte d’administrateur ou standard local doit être créé pour l’utilisateur. Par défaut, Jamf Connect utilise l’attribut groupes pour trouver toutes les valeurs spécifiées dans le réglage Rôles administrateur (OIDCAdmin).

Note:
  • Si vous utilisez Microsoft Entra ID, définissez cette valeur sur roles.
  • Si vous utilisez Google Identity, les rôles utilisateurs ne peuvent pas être définis à l’aide d’un jeton d’authentification.
<key>OIDCAdminAttribute</key>
<string>groups</string>

Rôles administrateur

OIDCAdmin

Spécifie quels rôles (ou groupes) utilisateurs configurés dans votre fournisseur d’identité (IdP) deviennent des administrateurs locaux lors de la création de compte. Vous pouvez indiquer un ou plusieurs rôles en tant que tableau de chaînes. Jamf Connect recherche ces valeurs dans l’attribut « groupe » du jeton d’identification par défaut, à moins que le réglage Attribut de l’administrateur (OIDCAdminAttribute) ne soit configuré.

Note:
  • Si vous utilisez Okta Identity Engine, le réglage Périmètres OpenID Connect (OIDCScopes) doit être défini comme suit : openid profile email groups. Okta exige l’utilisation de séparateurs d’espace dans la demande de périmètre plutôt qu’un signe +.
  • Si vous utilisez Google Identity, les rôles utilisateurs ne peuvent pas être définis à l’aide d’un jeton d’authentification.
<key>OIDCAdmin</key>
<array>
<string>role-one</string>
<string>role-two</string>
<string>role-three</string>
<string>role-four</string>
</array> 

Ignorer les rôles

OIDCIgnoreAdmin

Si cette option est activée (définie sur true), Jamf Connect Login ignore tous les rôles qui existent dans votre fournisseur d’identité. Ce réglage garantit que les comptes utilisateur locaux conservent leur statut actuel de compte d’administrateur ou de compte standard.

Si ce réglage est désactivé (défini sur false) ou qu’il n’est pas spécifié, Jamf Connect Login lit le réglage OIDCAdmin pour les rôles configurés et modifiera le statut d’un compte utilisateur local en fonction des rôles définis par votre fournisseur d’identité.

<key>OIDCIgnoreAdmin</key>
<false/>

Groupe d’accès secondaire

OIDCSecondaryAccess

Spécifiez les rôles utilisateur (ou les groupes) pour déterminer si un utilisateur est autorisé à créer des utilisateurs supplémentaires sur les ordinateurs après la création du premier compte local. Jamf Connect recherche ces valeurs dans l’attribut role du jeton d’identification lorsque OIDCProvider est défini sur Azure ou sur EntraID. Jamf Connect recherche ces valeurs dans l’attribut OIDCAdminAttribute du jeton d’identification pour tous les autres fournisseurs OIDC.
Note:

Si vous utilisez Okta Identity Engine, le réglage Périmètres OpenID Connect (OIDCScopes) doit être défini comme suit : openid profile email groups. Okta exige l’utilisation de séparateurs d’espace dans la demande de périmètre plutôt qu’un signe +.

<key>OIDCSecondaryAccess</key>
<array>
<string>IT</string>
</array>
Ignorer les comptes locaux pour l’accès secondaire

ExistingUsersHide

Indiquez les noms des comptes utilisateurs locaux (par exemple les comptes de service informatique) à ignorer lorsque Jamf Connect envisage de bloquer le provisionnement des nouveaux comptes en fonction de la fonctionnalité d’accès secondaire. Cette option peut être utilisée en même temps que Identifiant client de connexion secondaire (OIDCSecondaryLoginClientID) pour Okta Classic ou Groupe d’accès secondaire (OIDCSecondaryAccess) pour tous les autres fournisseurs d’identité. 
<key>ExistingUsersHide</key>
<array>
	<string>it-admin</string>
</array>