若要為用戶啟用SAML式SSO,您必須同時在IdP的主控台和Jamf Pro中配置設定。
您必須先配置IdP設定,然後才能在Jamf Pro中啟用SSO。在某些環境中,必須同時配置 IdP 和 Jamf Pro。
Note:啟用Jamf Pro服務和應用程式的SSO,防止使用者以標準和目錄憑證進行認證。Jamf建議您在啟用後,通知使用者關於組織中認證經驗的變更。
Requirements
與支援 SAML 2.0 通訊協定的身分識別提供者 (IdP) 整合。如需更多資訊,請參閱下方:
從Jamf Pro伺服器到身分識別提供者的TCP連線能力
具備相符之 IdP 使用者名稱或群組的 Jamf Pro 使用者帳戶或群組
管理者對 Jamf Pro 和 IdP 的權限
如果您啟用容錯移轉URL作為使用者存取Jamf Pro的選項,且啟用了SSO認證,則Jamf Pro使用者帳戶需要Jamf Pro中SSO設定的讀取和更新權限。如需更多資訊,請參閱建立 Jamf Pro 使用者帳戶。
- 在Jamf Pro中,於側邊欄中按一下設定。
- 在系統區段中,按一下單一登入。
- 按一下編輯 。
- 選取啟用SSO認證以啟用配置。
- 執行下列其中一項操作:
Note:在 容錯移轉登入 URL 方塊中,按一下複製到剪貼簿,然後將容錯移轉登入 URL 儲存至安全的位置。啟用SSO後,此URL可讓您使用Jamf Pro憑證登入。
- 從 身分識別提供者 快顯功能表選擇 IdP。
若功能表中未列示您的 IdP,請選擇 ,並在 其他提供者 欄位中輸入 IdP 的名稱。根據預設,系統會預先填入 實體 ID 欄位 (例如,「https://JAMF_PRO_URL.jamfcloud.com/saml/metadata」)。
Note:就大多數 IdP 而言,實體 ID 值應該與 IdP 之配置設定中的 對象 URI 值相符。
- 選取選項以配置身分識別提供者中繼資料來源設定:
- 中繼資料檔案 —允許您上傳XML格式的中繼資料檔案。
- 中繼資料 URL —您必須從 IdP 的配置設定 (例如,對象 URI 或 對象限制) 中取得此 URL。
- (Optional) (僅限Okta)如需置換預設代號有效期限,請啟用代號過期時間覆寫。
啟用後,以分鐘為單位的值會決定 SAML 代號過期的時間。系統會以Okta所決定的預設值預先填寫此欄位。若您置換預設值,則您必須確保新值與在Okta中所配置的代號效期設定相符。
代號過期時間覆寫設定在Okta中預設為已停用,並使用預設有效時間。
Important:如果啟用代號過期時間覆寫設定,則Jamf Pro使用者或使用已註冊裝置的用戶可能會遭遇登入錯誤。若要避免這些錯誤,您可能要停用 代號過期時間覆寫 設定。這會讓 Jamf Pro 停止確認由 IdP 所控制及確認的代號存留期。或者,您也可以確保 Jamf Pro 中所設定的代號過期時間超過 IdP 所配置的過期時間。然而,若代號過期時間不斷變更,仍可能會發生問題。
- 在身分識別提供者使用者對應設定中選取選項,以定義應將SAML代號的哪個屬性對應至Jamf Pro使用者:
- NameID —預設屬性名稱
- 自訂屬性 —允許您輸入已納入IdP所傳送之SAML代號的自訂屬性名稱
- 針對 Jamf Pro 使用者對應 按一下 使用者名稱 或 電子郵件。
這些選項可決定將 IdP 中之使用者對應至 Jamf Pro 使用者的方式。根據預設,Jamf Pro 會從 IdP 取得使用者資訊,然後將它與現有的 Jamf Pro 使用者帳戶進行比對。若 Jamf Pro 中不存在傳入的使用者帳戶,則會比對群組名稱。
- 輸入可定義 身分識別提供者群組屬性名稱 欄位中 IdP 之使用者的 SAML 判斷提示屬性。
Jamf Pro 從 Jamf Pro 資料庫中比對各群組,並比較群組名稱。每位使用者均可像本機 Jamf Pro 使用者一樣,以相同的方式從所有群組獲得存取權限。AttributeValue 字串可能會被格式化為多個字串、單一字串或以分號分隔的值。
Example:http://schemas.xmlsoap.org/claims/Group
- (Optional) 使用 LDAP 群組的 RDN 密鑰 欄位從以 LDAP 格式傳送的字串 (辨別名稱 (DN)) 中擷取群組名稱。
Jamf Pro 會使用指定的鍵值在傳入的字串中搜尋相對辨別名稱 (RDN),並使用 RDN 鍵值做為群組的實際名稱。
Note:如果目錄服務字串在同一密鑰中包含多個RDN部分(例如,CN=Administrators, CN=Users, O=YourOrganization),Jamf Pro將從第一個RDN密鑰(例如,CN=Administrators)擷取群組名稱。若您將 LDAP 群組的 RDN 密鑰 欄位留白,Jamf Pro 便會使用整個 LDAP 格式字串。
- (Optional) 選取Security (安全性)核取方塊並選擇以下Jamf Pro簽署憑證其中一個選項來建立安全的SAML通訊:
- 產生憑證 —若您未提供自己的簽署憑證,則允許您產生簽署憑證。
- 上傳憑證 —允許您上傳自己的簽署憑證。若您正在上傳Jamf Pro簽署憑證,請使用私鑰上傳簽署憑證密鑰存放區(.jks或.p12),以簽署SAML代號並將其加密,把密碼輸入密鑰存放區檔案,選取私鑰別名,然後再輸入密鑰密碼。
Note:如果您之前的憑證即將到期,可以重新上傳Jamf Pro簽署憑證。此外,針對某些IdP,您可能需要下載憑證並將它納入IdP配置設定中。
- (Optional) 按一下 Jamf Pro 的單一登入選項,以配置下列其他選項:
- 允許使用者略過單一登入驗證 —
若使用者直接瀏覽至 Jamf Pro URL,則允許使用者無需使用 SSO 便可登入 Jamf Pro。當使用者嘗試透過您的 IdP 存取 Jamf Pro 時,仍會進行 SSO 驗證和授權。
- 針對適用macOS的Self Service啟用單一登入 —允許使用者透過身分識別提供者登入頁面登入Self Service。 Self Service 可從身分識別提供者存取任何現有的使用者名稱。
Note:啟用此選項會自動將中的 驗證類型 變更為 單一登入。
停用此選項會自動將中的 驗證類型 變更為 目錄服務帳戶或Jamf Pro使用者帳戶。
FIDO2必須經由您的身分識別提供者進行配置,並在Jamf Pro中啟用。
- 針對註冊期間的使用者認證啟用單一登入 —
允許使用者在使用者啟動註冊、帳戶導向使用者註冊和帳戶導向裝置註冊期間,透過其身分識別提供者的登入頁面進行註冊。啟用後,IdP登入頁面使用的使用者名稱就會在資產更新期間成為使用者和位置類別中使用者名稱欄位使用的使用者名稱Jamf Pro。按一下任何身分識別提供者使用者即可允許存取您IdP中的所有使用者,或按一下僅限此群組,以限制存取所選取的使用者群組。
- 按一下儲存 。
- (Optional) 按一下 Download (下載) ,以下載 Jamf Pro 中繼資料 XML 檔案。
某些IdP要求上傳中繼資料檔案以正確配置SAML。該檔案包含數個重要URL,可讓IdP知道要將使用者傳送至何處,以及如何使用
Jamf Pro進行確認。
對於其他IdP,則不需要中繼資料檔案。這之所以可讓安裝程式更快完成是因為系統會自動提供所有必要資訊。
現在會自動將使用者重新導向至您組織的 IdP 登入頁面,以存取 Jamf Pro 已配置的部分。