Jamf Connect Login視窗可被OIDC應用程式使用,以根據群組成員資格來限制存取權或使用者的本機管理員權限。如果Okta認證API能夠對應用程式驗證使用者,表示其為群組成員且已被授與權限。
此外,僅當您的Jamf Connect Configuration中的身分識別提供者(OIDCProvider)設定設為Okta時,才能針對此用途使用Jamf Connect Login視窗。如果你的身分識別提供者(OIDCProvider)設定是設為Okta-OIDC或OktaIdentityEngine,請參閱OpenID Connect 使用者角色設定以瞭解管理員角色(OIDCAdmin)和次要存取群組(OIDCSecondaryAccess)設定的更多資訊。
有三種權限可授與:
- 存取用戶端ID
OIDCAccessClientID - 指定 OIDC 應用程式,適用於可以建立帳戶或登入電腦的使用者。
- 管理員用戶端ID
OIDCAdminClientID - 指定 OIDC 應用程式,適用於在帳戶建立期間被建立為本機管理者的使用者。
- 次要登入用戶端ID
OIDCSecondaryLoginClientID - 指定 OIDC 應用程式,適用於可以在建立第一個帳戶後於電腦上建立其他使用者的使用者。此設定會允許一小群使用者建立其他使用者帳戶(例如,執行一次性實際管理工作的IT管理員),並且防止未經授權的使用者使用配發給另一名人員的1:1設備。
檢查
DenyLocal旗標的狀態若為false或未定義,則檢查本機macOS使用者資料庫。若帳戶存在,則在本機上驗證使用者。保留現有帳戶權限。
若為true,則繼續透過Okta認證API根據Okta租用戶驗證使用者。
使用認證中對Okta租用戶的存取代號來判斷:
若已定義,使用者是否能對存取用戶端ID(
OIDCAccessClientID))App進行驗證?若已定義,使用者是否能對次要登入用戶端 ID(
OIDCSecondaryClientID)App進行驗證,以及是否有現有本機使用者帳戶擁有本機密碼?若已定義,使用者是否能對管理員用戶端ID(
OIDCAdminClientID)App進行驗證?
此外,使用限制應用程式為可選,而可定義一或多個應用程式則取決於您的組織登入需求。
所有使用者都應是標準使用者。定義App以用於存取用戶端ID(OIDCAccessClientID)。將話務中心團隊使用者群組指派至Okta中的App。只有指派至該App的使用者才能登入Mac,並且可在任何電腦上建立帳戶。沒有任何使用者會成為管理員。