Afin d’activer l’authentification SSO via SAML pour les utilisateurs finaux, vous devez configurer les réglages à la fois dans la console de votre fournisseur d’identité (IdP) et dans Jamf Pro.
Avant d’activer l’authentification SSO dans Jamf Pro, vous devez configurer les réglages de votre fournisseur d’identité (IdP). Dans certains environnements, une configuration simultanée de votre fournisseur d’identité (IdP) et de Jamf Pro est requise.
Note:
L’activation de l’authentification SSO pour les services et les apps Jamf Pro empêche les utilisateurs de s’authentifier avec des identifiants standard ou de répertoire. En cas de modification de l’expérience d’authentification dans votre organisation, Jamf vous recommande d’envoyer une notification à tous les utilisateurs.
Requirements
D’une intégration à un fournisseur d’identité (IdP) prenant en charge les protocoles SAML 2.0. Pour plus d’informations, consultez la section suivante :
Articles techniques relatifs à l’authentification par signature unique pour :
Connectivité TCP entre le serveur Jamf Pro et le fournisseur d’identité
Des comptes utilisateur ou des groupes Jamf Pro correspondant aux noms d’utilisateurs ou aux groupes du fournisseur d’identité
De privilèges d’administrateur pour Jamf Pro et votre fournisseur d’identité
Si vous activez l’URL de basculement pour permettre aux utilisateurs d’accéder à Jamf Pro et que l’authentification SSO est activée, les comptes utilisateur Jamf Pro devront disposer de privilèges de lecture et de mise à jour pour les réglages de l’authentification SSO dans Jamf Pro. Pour plus d’informations, consultez la section Création d’un compte utilisateur Jamf Pro.
Dans la barre latérale de Jamf Pro, cliquez sur Réglages .
Dans la section Système, cliquez sur Authentification par signature unique .
Cliquez sur Modifier .
Sélectionnez Activer l’authentification SSO pour activer la configuration.
Effectuez l’une des opérations suivantes :
Si vous utilisez l’authentification SSO via OIDC dans Jamf Account pour l’authentification SSO administrateur, mais que vous voulez activer l’authentification SSO via SAML pour les utilisateurs finaux, sélectionnez Utiliser l’authentification SAML pour les utilisateurs finaux (via les réglages du fournisseur d’identité [IdP] dans Jamf Pro).
Afin d’utiliser l’authentification SSO via SAML pour les administrateurs et les utilisateurs finaux, sélectionnez Authentification SAML.
Note:
Dans la fenêtre URL de connexion de basculement, cliquez sur Copier dans le presse-papiers, puis enregistrez l’URL de connexion de basculement dans un emplacement sécurisé. Cette URL vous permet de vous connecter à l’aide de vos identifiants Jamf Pro une fois l’authentification SSO activée.
Choisissez votre fournisseur d’identité dans le menu contextuel Fournisseur d’identité.
Si votre fournisseur d’identité ne se trouve pas dans la liste, sélectionnez "Autre" et saisissez son nom dans le champ Autre fournisseur. Le champ Identifiant de l’entité est prérempli par défaut (p. ex. « https://JAMF_PRO_URL.jamfcloud.com/saml/metadata »).
Note:
En général, la valeur Identifiant de l’entité correspond à la valeur URI Public dans les réglages de configuration de votre fournisseur d’identité.
Sélectionnez une option pour configurer le réglage Source des métadonnées du fournisseur d’identité :
Fichier de métadonnées —Cela vous permet de téléverser un fichier de métadonnées au format XML.
URL de métadonnées —Vous devez obtenir cette URL dans les réglages de configuration de votre fournisseur d’identité (p. ex. « URI Public » ou « Restrictions Public »).
(Optional) (Okta uniquement) Activez le réglage Remplacement de l’heure d’expiration du jeton si vous avez besoin de contourner la période d’expiration du jeton par défaut.
Lorsque cette option est activée, la valeur en minutes détermine le délai avant l’expiration du jeton SAML. Le champ est prérempli avec la valeur par défaut déterminée par Okta. Si vous remplacez la valeur par défaut, vous devez vous assurer que la nouvelle valeur correspond aux réglages d’expiration du jeton configurés dans Okta.
Dans Okta, le réglage Remplacement de l’heure d’expiration du jeton est défini par défaut sur Désactivé et le délai avant expiration fourni par défaut est utilisé.
Important:
Les utilisateurs ou utilisateurs finaux de Jamf Pro qui inscrivent des appareils peuvent rencontrer des erreurs de connexion lorsque le réglage Remplacement de l’heure d’expiration du jeton est activé. Pour empêcher ces erreurs, nous vous recommandons de désactiver le réglage Remplacement de l’heure d’expiration du jeton. Jamf Pro arrêtera ainsi de vérifier la durée de vie du jeton, qui est contrôlée et vérifiée par votre fournisseur d’identité. Sinon, vous pouvez vous assurer que le délai d’expiration du jeton défini dans Jamf Pro dépasse le délai d’expiration configuré par votre fournisseur d’identité. Des problèmes peuvent cependant toujours survenir si le délai d’expiration du jeton change de façon dynamique.
Sélectionnez une option pour le réglage Mappage des utilisateurs du fournisseur d’identité afin de définir quel attribut du jeton SAML mapper aux utilisateurs Jamf Pro :
NameID —Nom de l’attribut par défaut
Attribut personnalisé —Vous permet de définir un nom d’attribut personnalisé inclus dans le jeton SAML envoyé depuis votre fournisseur d’identité.
Cliquez sur Nom d’utilisateur ou Courriel pour Mappage des utilisateurs Jamf Pro.
Ces options déterminent comment mapper les utilisateurs de votre fournisseur d’identité à ceux de Jamf Pro. Par défaut, Jamf Pro obtient des informations relatives à l’utilisateur auprès du fournisseur d’identité et les compare aux comptes utilisateur Jamf Pro existants. Si le compte utilisateur entrant n’existe pas dans Jamf Pro, un mappage du nom de groupe a lieu.
Saisissez l’attribut d’assertion SAML qui définit les utilisateurs du fournisseur d’identité dans le champ Nom de l’attribut de groupe du fournisseur d’identité.
Jamf Pro mappe chaque groupe de la base de données Jamf Pro et compare les noms de groupes. Chaque utilisateur se verra accorder des privilèges d’accès à tous les groupes, de la même manière qu’un utilisateur Jamf Pro local. Les chaînes AttributeValue peuvent se présenter sous la forme de plusieurs chaînes, d’une seule chaîne ou de valeurs séparées par des points-virgules.
Example:http://schemas.xmlsoap.org/claims/Group
(Optional) Utilisez le champ Clé RDN pour le groupe LDAP pour extraire le nom du groupe des chaînes envoyées au format LDAP, Distinguished Names (DN ou nom distinctif).
Jamf Pro recherche dans la chaîne entrante un nom distinctif relatif (RDN) avec la clé spécifiée et utilise la valeur de la clé RDN comme le véritable nom du groupe.
Note:
Si la chaîne du service d’annuaire contient plusieurs parties RDN avec la même clé (par ex. CN=Administrators, CN=Users, O=YourOrganization), Jamf Pro extraira les noms de groupes de la première clé RDN (par ex. CN=Administrators). Si vous laissez le champ Clé RDN pour le groupe LDAP vide, Jamf Pro utilisera toute la chaîne au format LDAP.
(Optional) Cochez la case Sécurité et choisissez l’une des options Certificat de signature Jamf Pro suivantes pour établir une communication sécurisée avec SAML :
Générer le certificat —Cela vous permet de générer un certificat de signature si vous ne disposez pas du vôtre.
Téléverser le certificat —Cela vous permet de téléverser votre propre certificat de signature. Si vous effectuez le téléversement du certificat de signature Jamf Pro, téléversez un keystore du certificat de signature (.jks ou .p12) à l’aide d’une clé privée pour signer et chiffrer les jetons SAML, saisissez le mot de passe dans le fichier keystore, sélectionnez un alias de clé privée, puis saisissez le mot de passe de la clé.
Note:
Vous pouvez téléverser à nouveau le certificat de signature Jamf Pro si votre ancien certificat arrive à expiration. De plus, pour certains fournisseurs d’identité, vous devrez peut-être télécharger le certificat et l’inclure dans les réglages de configuration de votre fournisseur d’identité (IdP).
(Optional) Cliquez sur Options d’authentification par signature unique pour Jamf Pro pour configurer les options supplémentaires suivantes :
Autoriser les utilisateurs à ignorer l’authentification par signature unique —
Cela permet aux utilisateurs de se connecter à Jamf Pro sans l’authentification SSO en accédant directement à l’URL de Jamf Pro. Lorsqu’un utilisateur tente d’accéder à Jamf Pro via votre fournisseur d’identité, cette opération déclenche toujours l’autorisation et l’authentification SSO.
Activer l’authentification par signature unique pour Self Service sous macOS —Cela permet aux utilisateurs de se connecter à Self Service via la page d’ouverture de session du fournisseur d’identité. Self Service peut accéder à tous les noms d’utilisateurs existants à partir du fournisseur d’identité.
Note:
L’activation de cette option fait passer automatiquement le Type d’authentification dans Réglages > Self Service > macOS > Ouverture de session en Authentification par signature unique.
La désactivation de cette option fait passer automatiquement le Type d’authentification dans Réglages > Self Service > macOS > Ouverture de session en Compte de service d’annuaire ou compte utilisateur Jamf Pro.
L’authentification FIDO2 doit être configurée via votre fournisseur d’identité et activée dans Jamf Pro.
Activer l’authentification par signature unique pour l’authentification de l’utilisateur au cours de l’inscription —
Permet aux utilisateurs de s’inscrire via la page de connexion de leur fournisseur d’identité lors de l’inscription par l’utilisateur, l’Inscription par l’utilisateur à partir d’un compte et l’Inscription des appareils à partir d’un compte. Si cette option est activée, le nom d’utilisateur affiché sur la page de connexion du fournisseur d’identité sera le nom d’utilisateur utilisé par Jamf Pro dans le champ Nom d’utilisateur de la catégorie Utilisateur et emplacement lors des mises à jour d’inventaires. Vous pouvez cliquer sur Tout utilisateur du fournisseur d’identité pour autoriser l’accès à tous les utilisateurs du fournisseur d’identité ou sur Uniquement ce groupe pour limiter l’accès à un groupe restreint d’utilisateurs.
Note:
Si un service d’annuaire est intégré à Jamf Pro, les informations relatives à l’utilisateur et à l’emplacement seront entièrement renseignées à l’aide d’une recherche de Jamf Pro dans le service d’annuaire.
Si un service d’annuaire n’est pas intégré à Jamf Pro, le champ Nom d’utilisateur sera le seul élément renseigné dans la catégorie Utilisateur et emplacement. La recherche d’utilisateur ne fonctionnera pas pendant l’inscription.
Cliquez sur Enregistrer .
(Optional) Cliquez sur Télécharger afin de télécharger le fichier XML des métadonnées de Jamf Pro.
Certains fournisseurs d’identité ont besoin que le fichier de métadonnées soit téléversé pour configurer correctement le protocole SAML. Le fichier contient plusieurs URL importantes pour permettre au fournisseur d’identité de savoir vers où rediriger un utilisateur et comment vérifier les informations fournies à Jamf Pro.
Pour les autres fournisseurs d’identité dans le cloud, aucun fichier de métadonnées n’est requis. Cela permet une configuration plus rapide, toutes les informations requises étant renseignées automatiquement dans le système.
Les utilisateurs sont désormais redirigés automatiquement vers la page d’ouverture de session du fournisseur d’identité de votre organisation pour accéder aux parties configurées de Jamf Pro.