Self Service+認證設定

Jamf Connect 說明文件
Solution
Application
Jamf Connect
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW
  • 網域com.jamf.connect
  • 字典IdPSettings
  • 說明

    用於允許Self Service+(以前稱為Jamf Connect功能表列App)來完成您的IdP與本機帳戶之間的認證。必要設定會隨IdP而有所不同。

設定

說明

身分識別提供者

Provider

(必填)指定您的雲端身分識別提供者名稱。支援下列值:

  • EntraID(以前稱為Azure)
  • IBMCI
  • GoogleID
  • Okta
  • OktaIdentityEngine
  • Okta OIDC
  • OneLogin
  • PingFederate
  • 自訂
<key>Provider</key>
<string>Azure</string>

Okta Auth Server

OktaAuthServer

(必填:Okta Classic Engine或Okta Identity Engine)指定您組織的Okta網域或自訂授權伺服器。對於網域,前面的「https://」是選用的。

<key>OktaAuthServer</key>
<string>your-company.okta.com</string>

用戶端 ID

ROPGID

(必填:僅限OpenID Connect)指定您IdP中之Self Service+App的用戶端ID。此值可讓Self Service+完成資源擁有者密碼授與(ROPG),這是執行密碼驗證的處理程序。

<key>ROPGID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

探索URL

DiscoveryURL

指定您IdP的OpenID Connect探索端點。此值的顯示格式如下:https://domain.url.com/.well-known/openid-configuration

如使用AD FS,此值會將您的AD FS網域與下列事項結合:/adfs/.well-known/openid-configuration/

Note:

如果把您的身分識別提供者OIDCProvider)設定為CustomPingFederate,則需要此設定。

<key>DiscoveryURL</key>
<string>https://domain.url.com/.well-known/openid-configuration</string>

租用戶ID

TenantID

指定貴組織用於認證的租用戶ID。

Note:

如果IBM Security Verify是您的IdP,則此值為必填,且會與您用於IBM URL中的租用戶名稱相符。(例如https://companyname.ibmcloud.com)

<key>TenantID</key>
<string>companyname</string>

變更密碼URL

ChangePasswordURL

指定可開啟您IdP所支援之網頁的URL,而使用者可在其中變更密碼。

Note:

如Entra ID是您的身分識別提供者,則預設URL為https://mysignins.microsoft.com/security-info/password/change

如果Okta是您的身分識別提供者,則預設URL為Okta Auth ServerOktaAuthServer)偏好設定密鑰列出的網域,後面接/enduser/settings。

若Google Identity是您的身分識別提供者,Jamf建議使用此URL:https://myaccount.google.com/intro/signinoptions/password

具有更多自訂Entra ID、Okta或Google Identity環境的組織也可使用自訂URL。 

<key>ChangePasswordURL</key>
<string>https://IDP_EXAMPLE.com/.well-known/change-password</string> 

重設密碼URL

ResetPasswordURL

指定可開啟您IdP所支援之網頁的URL,當使用者忘記密碼時,可在其中重設密碼。

Note:

如Entra ID是您的IdP,則預設URL為https://passwordreset.microsoftonline.com/

如果Okta是您的身分識別提供者,則預設URL為Okta Auth ServerOktaAuthServer)偏好設定密鑰列出的網域,後面接/signin/forgot-password。

若Google Identity是您的身分識別提供者,Jamf建議使用此URL:帳戶復原(Google)

具有更多自訂Entra ID、Okta或Google Identity環境的組織也可使用自訂URL。 

<key>ResetPasswordURL</key>
<string>https://IDP_EXAMPLE.com/.well-known/change-password</string>

用戶端密碼

ClientSecret

指定您IdP中之Self Service+應用程式的用戶端密碼。

<key>ClientSecret</key>
<string>yourClientSecret</string>

範圍

Scopes

指定自訂OIDC範圍,這些範圍會在授權時返回使用者ID Token中的附加請求。標準範圍包括openidprofileoffline_access。如有多個範圍包含在內,請使用「+」來分隔它們。

<key>Scopes</key>
<string>openid+profile</string>

密碼驗證成功碼

SuccessCodes

指定確認ROPG密碼時包含IdP錯誤代碼的字串陣列,Self Service+應該會將其解讀為成功。

關於可能需要在您的環境中配置的錯誤代碼,請參閱Microsoft的Microsoft Entra驗證和授權錯誤碼說明文件。

若您在環境中使用OneLogin和多因素認證,則將此密鑰設為MFA

<key>SuccessCodes</key>
<array>
<string>AADSTS50012</string>
<string>AADSTS50131</string>
</array>

授權檔案

LicenseFile

指定以Base64資料格式編碼的Jamf Connect授權檔案內容。授權檔案可從Jamf Account取得。

<key>LicenseFile</key>
<data>encoded-license-content</data>

管理者屬性

OIDCAdminAttribute

針對權限提升功能,指定要在使用者權限提升角色UserPromotionRole)設定中使用哪個屬性。根據預設,Self Service+會使用群組屬性來尋找管理者角色OIDCAdmin)設定中所指定的任何值。

Note:

若使用Microsoft Entra ID,請將此值設為角色。若使用 Google Identity,則無法使用 ID代號來定義使用者角色。

手動配置管理員屬性OIDCAdminAttribute)設定時,將設定新增至IdPSettings字典而非TemporaryUserPermissions字典。

<key>OIDCAdminAttribute</key>
<string>groups</string>