Réglages de l’élévation des privilèges

Documentation Jamf Connect
Solution
Application
Jamf Connect
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR
  • Domainecom.jamf.connect
  • DictionnaireTemporaryUserPermissions
  • Description

    Utilisé pour configurer la fonctionnalité d’élévation temporaire des privilèges dans Self Service+.

Réglage

Description

Privilèges temporaires accordés à l’utilisateur

TemporaryUserPromotion

(Requis) Active l’option permettant aux utilisateurs de demander une élévation de privilèges dans Self Service+.

<key>TemporaryUserPromotion</key>
<true/>

Minuteur des privilèges accordés à l’utilisateur

UserPromotionTimer

Affiche un minuteur dans la barre de menus de l’utilisateur, en regard de l’icône de Self Service+ pendant une élévation temporaire de privilèges.

<key>UserPromotionTimer</key>
<true/>

Durée des privilèges accordés à l’utilisateur

UserPromotionDuration

Détermine la durée de l’élévation des privilèges, en minutes. Par défaut, le réglage est défini sur 5 minutes. Pour plus d’informations, consultez la section Vérification de l’élévation des privilèges via les journaux.

Remarque :

Une durée définie sur 0 bloque cette fonctionnalité pour un groupe d’utilisateurs défini. Le réglage Rôle des privilèges accordés à l’utilisateur (UserPromotionRole) remplace les valeurs de ce réglage.

<key>UserPromotionDuration</key>
<integer>10</integer>

Vérifier les privilèges accordés à l’utilisateur

VerifyUserPromotion

Exige des utilisateurs qu’ils s’authentifient auprès de leur fournisseur d’identité avant qu’une élévation de privilèges puisse avoir lieu.

<key>VerifyUserPromotion</key>
<true/>
Remarque :

Le réglage Vérifier les privilèges accordés à l’utilisateur (VerifyUserPromotion) ne peut pas être utilisé avec un profil de configuration dont le fournisseur d’identité est Google.

Vérifier les privilèges accordés à l’utilisateur via l’authentification FIDO2

VerifyUserPromotionFIDO2

Exige des utilisateurs qu’ils s’authentifient auprès de leur fournisseur d’identité via un navigateur. Ce réglage, qui prend en charge les authentificateurs WebAuthn, y compris les clés d’accès et les clés FIDO2, est prioritaire sur le réglage Vérifier les privilèges accordés à l’utilisateur. Le réglage est actuellement pris en charge par les fournisseurs d’identité suivants :

  • Microsoft Entra ID

  • Okta Identity Engine

  • Okta OpenID Connect (OIDC)

  • PingFederate

Remarque :Exiger l’authentification WebAuthn pour l’élévation de privilèges peut nécessiter d’apporter des modifications aux règles d’authentification de votre fournisseur d’identité.

Après l’activation du réglage, l’application OIDC Jamf Connect située dans la configuration de votre fournisseur d’identité doit utiliser l’URI de redirection suivant pour éviter toute erreur potentielle : jamfconnect://loggedin

<key>VerifyUserPromotionFIDO2</key>
<true/>

Limite des privilèges accordés à l’utilisateur

UserPromotionLimit

Indique le nombre maximal de fois qu’un utilisateur peut demander une élévation de privilèges par mois calendaire. 

<key>UserPromotionLimit</key>
<integer>5</integer>

Motif de l’élévation de privilèges

UserPromotionReason

Exige des utilisateurs qu’ils indiquent un motif pour la demande d’élévation temporaire de privilèges. Tous les motifs des élévations sont enregistrés localement dans les journaux Self Service+.

Remarque :

Le champ texte pour les utilisateurs est limité à 200 caractères.

<key>UserPromotionReason</key>
<true/>

Sélection du motif de l’élévation de privilèges

UserPromotionChoices

Spécifie les motifs pour la demande d’élévation temporaire de privilèges parmi lesquels un utilisateur peut choisir.

<key>UserPromotionChoices</key>
<array>
<string>Download software</string>
<string>Update software</string>
</array>

Rôle des privilèges accordés à l’utilisateur

UserPromotionRole

Restreint les personnes autorisées à utiliser la fonctionnalité et à modifier les réglages supplémentaires selon leur nom d’utilisateur ou leur rôle, et ce pour les configurations avec les fournisseurs d’identité suivants :

  • Microsoft Entra ID

  • Okta Identity Engine

  • PingFederate

Remarque :

Pour configurer les réglages de l’élévation des privilèges pour chaque rôle, vous devez sélectionner Vérifier les privilèges accordés à l’utilisateur. Les valeurs saisies dans le champ Rôle des privilèges accordés à l’utilisateur (UserPromotionRole) doivent correspondre à celles figurant dans la réclamation des rôles du jeton d’identification. Vous devez également renseigner le champ Attribut de l’administrateur (OIDCAdminAttribute).

Les configurations de Jamf Connect dans lesquelles Okta Identity Engine est défini comme fournisseur d’identité requièrent l’option Périmètres (Scopes) dans votre profil de configuration pour l’élévation de privilèges basée sur les groupes.

Une durée définie sur 0 bloque cette fonctionnalité pour un groupe d’utilisateurs défini.

<key>UserPromotionRole</key>
<array>
<dict>
<key>Duration</key> 
<integer>20</integer>
<key>Name</key>
<string>Teachers</string>
</dict>
</array>

Données biométriques des privilèges accordés à l’utilisateur

UserPromotionBiometrics

Exige des utilisateurs qu’ils s’authentifient avec Touch ID avant une session d’élévation temporaire des privilèges.

Remarque :

Le réglage Vérifier les privilèges accordés à l’utilisateur (VerifyUserPromotion) est prioritaire et les deux réglages ne peuvent pas être utilisés en même temps. Si le réglage Vérifier les privilèges accordés à l’utilisateur (VerifyUserPromotion) est activé, les utilisateurs pourront ignorer l’authentification biométrique.

<key>UserPromotionBiometrics</key>
<true/>
Schéma URL et élévation de ligne de commande

URLCommandLineElevation

Restreint les utilisateurs dans l’utilisation de la fonctionnalité d’élévation de privilèges via l’interface de ligne de commande ou les schémas URL.

<key>URLCommandLineElevation</key>
<true/>

Attribut de l’administrateur

OIDCAdminAttribute

Définit l’attribut à utiliser dans le réglage Rôle des privilèges accordés à l’utilisateur (UserPromotionRole). Par défaut, Self Service+ utilise l’attribut groupes pour trouver toutes les valeurs spécifiées dans le réglage Rôles administrateur (OIDCAdmin).

Remarque :

Si vous utilisez Microsoft Entra ID, définissez cette valeur sur roles. Si vous utilisez Google Identity, les rôles utilisateurs ne peuvent pas être définis à l’aide d’un jeton d’authentification.

Lorsque vous configurez le réglage Attribut de l’administrateur (OIDCAdminAttribute) manuellement, ajoutez-le au dictionnaire IdPSettings plutôt qu’au dictionnaire TemporaryUserPermissions.

<key>OIDCAdminAttribute</key>
<string>groups</string>