OpenID Connect 使用者角色設定

Jamf Connect 說明文件
Solution
Application
Jamf Connect
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW
  • 網域com.jamf.connect.login
  • 說明

    用於從OpenID Connect認證所收到的ID代號屬性來配置使用者角色

設定

說明

管理者屬性

OIDCAdminAttribute

指定要使用 ID代號中所儲存的哪個屬性,來決定應為使用者建立標準本機帳戶還是管理者本機帳戶。根據預設,Jamf Connect會使用群組屬性來尋找管理者角色OIDCAdmin)設定中所指定的任何值。

Note:
  • 若使用Microsoft Entra ID,請將此值設為角色
  • 若使用 Google Identity,則無法使用 ID代號來定義使用者角色。
<key>OIDCAdminAttribute</key>
<string>groups</string>

管理者角色

OIDCAdmin

指定 IdP 中所配置的哪個使用者角色 (或群組) 會在帳戶建立期間變成本機管理者。您可以將一或多個角色指定為字串陣列。除非配置了管理者屬性OIDCAdminAttribute)設定,否則Jamf Connect預設會在ID代號的「groups」屬性中尋找這些值。

Note:
  • 如果使用Okta Identity Engine,必須使用以下範圍指定OpenID Connect範圍OIDCScopes)設定:openid profile email groups。Okta 要求在範圍請求中使用空格分隔符號而非 +
  • 若使用 Google Identity,則無法使用 ID代號來定義使用者角色。
<key>OIDCAdmin</key>
<array>
<string>role-one</string>
<string>role-two</string>
<string>role-three</string>
<string>role-four</string>
</array> 

忽略角色

OIDCIgnoreAdmin

啟用 (設為 true) 後,Jamf Connect Login 會忽略您 IdP 中所存在的任何角色。此設定可確保本機使用者帳戶維持其目前的狀態,即做為管理者或標準帳戶。

停用(設為false)或未指定時,Jamf Connect Login會讀取已配置角色的 OIDCAdmin設定,並根據您IdP中的任何角色變更本機使用者帳戶狀態。

<key>OIDCIgnoreAdmin</key>
<false/>

次要存取群組

OIDCSecondaryAccess

指定使用者角色(或群組),以決定使用者是否可在建立第一個本機帳戶後於電腦上建立其他使用者。當OIDCProvider設定為AzureEntraID時,Jamf Connect會在ID代號的role屬性中尋找這些值。針對所有其他OIDC提供者,Jamf Connect會在ID代號的OIDCAdminAttribute屬性中尋找這些值。
Note:

如果使用Okta Identity Engine,必須使用以下範圍指定OpenID Connect範圍OIDCScopes)設定:openid profile email groups。Okta 要求在範圍請求中使用空格分隔符號而非 +

<key>OIDCSecondaryAccess</key>
<array>
<string>IT</string>
</array>
忽略次要存取的本機帳戶

ExistingUsersHide

指定當Jamf Connect根據次要存取功能決定封鎖新帳戶佈建時,要忽略的本機使用者帳戶名稱(例如IT服務帳戶)。可與Okta Classic的次要登入用戶端IDOIDCSecondaryLoginClientID),或所有其他身分識別提供者的次要存取群組OIDCSecondaryAccess)結合使用。 
<key>ExistingUsersHide</key>
<array>
	<string>it-admin</string>
</array>