Jamf Blog
June 13, 2023 Von Sean Rabbitt

Single Sign-On für die Anmeldung mit Jamf und Okta meistern

Anmelde-SSO ist in Jamf Pro 10.47 mit Okta Integration verfügbar. Das Testen Ihrer Einstellungen ist der Schlüssel zu einer erfolgreichen Implementierung; lesen Sie diesen Blog, um zu erfahren, wie.

Das von Jamf in Zusammenarbeit mit Okta unterstützte Anmeldeverfahren (Enrollment Single Sign-On, ESSO) ist da, aber unabhängig davon, welchen Identitätsanbieter/welche Identitätsanbieterin Sie heute haben, ist der Weg zum Erfolg mit dem Testen Ihrer bestehenden Single Sign-On-Einrichtung gepflastert.

Jamf und Okta bieten erstklassiges Identitätsmanagement.

Was ist eine einmalige Anmeldung für die Registrierung?

Jetzt verfügbar mit der Veröffentlichung von Jamf Pro 10.47 und wenn Okta Ihr Cloud-Identitätsanbieter ist: Wenn ein Benutzer/eine Benutzerin eine Registrierung seines/ihres persönlichen Geräts in einem MDM (Mobilgererätverwaltung) initiiert, wird eine „Hilfsanwendung” zuerst auf das Gerät übertragen, ohne dass eine Apple ID oder ein Benutzeraufwand erforderlich ist. Diese Hilfsapp kann verwendet werden, um die Anmeldedaten des Identitätsanbieters (IdP) des Benutzers/der Benutzerin für die unvermeidlichen 27 verschiedenen Anmeldeanfragen zu speichern, die für die Einrichtung von MFA, Apple iCloud, E-Mail, die Aktivierung von Jamf Connect ZTNA, den Zugriff auf Cloud Dienste wie Office, Jira, Confluence, Salesforce... eingehen werden.

Single Sign-On basiert auf der Single Sign-On-Erweiterung

Die Zeit, die ein Benutzer/eine Benutzerin mit der Einrichtung seines/ihres Telefons verbringt, wird bald viel, viel kürzer werden. Die Enrollment-Single-Sign-On-Erweiterung (ESSOe) wird das Onboarding erleichtern und das Leben mit Ihrem BYOD-Gerät in Ihrem Unternehmen mit der Zeit angenehmer machen.

Die Single Sign-On-Erweiterung (SSOe) ist so neu, dass Sie sie vielleicht noch nicht in Ihrer Umgebung eingerichtet haben. Okta hat die Funktionalität für alle Okta Identity Engine-Tenants freigegeben, und Microsoft hat SSOe in diesem Monat als allgemeine Verfügbarkeit auf Azure verfügbar gemacht.

Single Sign-On wird durch eine auf einem Gerät installierte App und ein Konfigurationsprofil ermöglicht, das vom MDM (Mobilgeräteverwaltung) auf das Gerät übertragen wird.

Im Gegensatz zu ESSOe, das für persönliche Geräte gedacht ist, die über eine kontobasierte Benutzerregistrierung angemeldet werden, ist diese Standarderweiterung für die Apple Betriebssysteme jetzt für allGeräte verfügbar, die von einem MDM (Mobilgeräteverwaltung) verwaltet werden - ob institutionell durch eine beliebige Methode oder persönlich durch Benutzerregistrierung.

Die Single-Sign-On-Erweiterung wird von Okta über die Okta Verify-App auf macOS, iOS und iPadOS unterstützt. Auf Azure wird die Erweiterung von der Unternehmensportal-App auf macOS und Microsoft Authenticator auf iOS und iPadOS unterstützt.

Unabhängig von Ihrem Identitätsanbieter/Ihrer Identitätsanbieterin ist die einfache presence der App auf dem Gerät in Kombination mit einem Konfigurationsprofil, das Sie über Jamf bereitstellen, alles, was Ihr Benutzer/Ihre Benutzerin jemals wirklich benötigt. Sie müssen weder ein Gerät bei Okta registrieren noch ein Gerät für Azure Conditional Access anmelden. Der Benutzer/die Benutzerin muss sich nur einmal bei einem von Ihrem Identitätsanbieter/Ihrer Identitätsanbieterin geschützten Bereich anmelden. Danach teilt SSOe dem Apple Gerät mit, dass es die Helfer-App verwenden soll, um die Anmeldedaten des Benutzers/der Benutzerin automatisch zwischenzuspeichern und Zugriffstoken für Dienste auszuhandeln.

Ändern von Authentifizierungsrichtlinien zur Verwendung von Single Sign-On

Damit die einmalige Anmeldung funktioniert, müssen Ihre Authentifizierungsrichtlinien und Richtlinien für den bedingten Zugriff angepasst werden, um die Vorteile der einmaligen Anmeldung zu nutzen. Nehmen Sie sich jetzt die Zeit, mit Ihrem Identitätsteam zu kommunizieren und Okta Verify als Authentifizierungsmethode zuzulassen. Erörterung der Verwendung biometrischer Daten als nicht fälschbarer „zweiter Faktor” für erweiterte Sicherheit. Für Azure Benutzer*innen sollten Sie, auch wenn ESSO derzeit noch nicht verfügbar ist, die Verwendung der neuen Berechtigungen „Authentication Strength” und „Require MFA” in Ihren Richtlinien für bedingten Zugriff diskutieren.

Die Authentifizierungsrichtlinie oder die Richtlinie für den bedingten Zugriff muss diesen neuen, vereinfachten Anmeldeprozess für Ihre Endbenutzer*innen zulassen, um auf Cloud Ressourcen wie E-Mail, iCloud, die Aktivierung von Jamf Connect ZTNA und andere zuzugreifen, andernfalls wird standardmäßig das gute alte Passwort 27 Mal pro Tag verwendet, wie in den alten Tagen.

Verwenden Sie Jamf Pro, um Testgruppen und -geräte anzusprechen

Im Gegensatz zu einigen Apps oder Konfigurationen, die Sie lokal testen können, werden die Single Sign-On-Erweiterungen must über ein MDM (Mobilgeräteverwaltung) wie Jamf Pro oder Jamf School bereitgestellt. Aber wir sind darauf vorbereitet.

Sobald Ihr Identitätsteam die Authentifizierungs- und Zugangskontrollrichtlinien eingerichtet hat, richten Sie eine Gruppe von Testgeräten und ein Team von Freiwilligen ein, die das SSOe im Alltag testen. Sie können eine statische Gerätegruppe oder eine statische Computergruppe verwenden, um eine bestimmte Gruppe von Geräten auszuwählen, die die Okta Verify-App über eine Richtlinie oder über die automatische VPP-Installation sowie das Konfigurationsprofil erhalten.

Sobald Ihre Testgruppe die App und die Konfiguration erhalten hat, gehen Sie einfach Ihren alltäglichen Tätigkeiten nach. Melden Sie sich bei Ihren Cloud Apps an, rufen Sie Ihre Unternehmenswebsites mit OAuth-, SAML- und OIDC-Anmeldungen auf, und erleben Sie, wie die Magie geschieht.

Sobald sich Ihre Benutzer*innen wohlfühlen und Sie getestet haben, dass die Endbenutzer*innen auf ihre geschäftskritischen Ressourcen zugreifen können, verteilen Sie die App und die Konfiguration an Ihre Flotte und warten Sie auf die Seufzer von „aaaah....” Single Sign-on ist wirklich Single Sign-on und nicht 27 Mal das Eingeben desselben Benutzernamens und Passworts, immer und immer wieder und immer wieder.

Nutzen Sie die Vorteile von ESSO mit Jamf Pro und Okta.

Sean Rabbitt
Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.