進階登入認證設定

自訂 Okta 授權伺服器

OIDCAuthServer

（僅限Okta）在您的Okta租使用者中指定自訂授權伺服器，如此可在建立本機帳戶時，傳送使用者ID代號（透過OIDCIDTokenPath設定儲存）中的自訂範圍和宣告。

如要設定此值，請使用自訂授權伺服器 ID，這是一個字串，可以在您自訂授權服務器簽發者 URI 的末端找到。授權伺服器 ID 位於 abc9o8wzkhckw9TLa0h7z 下面的簽發者 URI 中。

<key>OIDCAuthServer</key>
<string>abc8o8wzjhckw9TLa0t8q</string>

有關建立自訂授權伺服器的更多資訊，請參閱Okta開發者的Create an authorization server（建立授權伺服器）說明文件。

忽略 Cookie

OIDCIgnoreCookies

忽略任何由登入視窗應用程式儲存的Cookie

<key>OIDCIgnoreCookies</key>
<false/>

OpenID Connect 範圍

OIDCScopes

指定自訂範圍，這會在授權時返回使用者 ID代號中的附加宣告。標準範圍包括openid、profile和offline_access。如包含多個範圍，請添增「+」來分隔它們。

<key>OIDCScopes</key>
<string>openid+profile</string>

全名

為全名指定一個不同的宣告，例如firstName、lastName或您的環境特有的其他自訂值。此設定將覆寫用於設定帳戶全名的預設屬性：name、family_name/given_name和first/last。

<key>OIDCFullName</key> 
<string>customName</string>

簡稱

OIDCShortName

指定要將使用者的 ID代號的哪個宣告做為本機 macOS 帳戶名稱 (簡稱)。oken將使用者的網路唯一名稱 (UPN 首碼) 新增到使用者的本機帳戶作為別名。

如果已配置將現有本機帳戶連接至網路帳戶（Migrate）設定，由簡稱（OIDCShortName）設定定義的值將顯示為現有本機UNIX使用者帳戶的別名。此設定不會變更現有使用者的本機帳戶名稱。

<key>OIDCShortName</key>
<string>given_name</string>

ROPG 簡稱

OIDCROPGShortName

指定在進行 ROPG 認證 (密碼認證) 流程時來自 ID代號的哪個宣告將用作使用者名稱。

此設定僅用於複雜的IdP環境，此時IdP不遵循Jamf Connect為在ROPG工作流程期間定義使用者名稱（例如，unique_name、preferred_username、email和sub）所使用的宣告。

<key>OIDCROPGShortName</key>
<string>given_name</string> 

格式化的 ID代號路徑

OIDCIDTokenPath

指定可儲存使用者的格式化 ID代號的檔案路徑。

<key>OIDCIDTokenPath</key>
<string>/tmp/token</string>

原始 ID代號路徑

OIDCIDTokenPathRaw

指定可儲存使用者原始 ID代號的檔案路徑。

<key>OIDCIDTokenPathRaw</key>
<string>/tmp/token-raw</string>

UseUserInfo

(僅限 PingFederate) 啟用 (設為 true) 後，此設定允許 Jamf Connect 從 PingFederate 使用者代號請求其他宣告。僅當您是從 PingFederate 簽發內部管理的參考代號時，才使用此設定。

有關管理PingFederate的更多資訊，請參閱PingIdentity的OAuth configuration（OAuth配置）說明文件。

<key>UseUserInfo</key>
<false/>