Synchronisierung von Passwörtern mit Google Cloud und Jamf Connect

Mit Jamf Connect 2.7 führen Jamf und Google eine neue, einfache Methode vor, Benutzer-Accounts sofort auf einem Mac mit Google Benutzernamen und Passwort zu erstellen, und dann das Passwort im Laufe der Zeit zu synchronisieren.

Bisher waren Organisationen, die Google als Identity Provider verwenden, extrem eingeschränkt, wenn sie ihre macOS Benutzerpasswörter mit der Cloud synchronisieren wollten. Ein Administrator musste entweder dem Benutzer und dem Passwort vertrauen, oder eine anstrengende manuelle Bindung an das sichere LDAP von Google herstellen, mit allen Problemen, die derartige Bindungen für macOS bieten. Jetzt begrüßt Jamf Google auf der Liste der Cloud Identity Anbieter, in die es sich integriert.

Erste Schritte:

Jamf Connect verwendet Google Secure LDAP, um das Passwort eines Benutzers zu synchronisieren. Um diesen Service zu verwenden, benötigt Ihre Organisation eine Google Cloud Identity oder Workspace Edition, die den Secure LDAP-Service von Google umfasst, wie folgt:

• Business Plus
• Unternehmen
• Grundlagen des Bildungsbereichs
• Standard
• Upgrade für das Lehren und Lernen
• Plus

Wenn Sie das zum ersten Mal einrichten, benötigen Sie jemanden in der Organisation mit Administratorrechten für Ihren Google Workspace, um ein Zertifikat von der Admin-Schnittstelle zu erhalten, das Sie an Ihre Macs verteilen.

Wenn Administrator bereits in der Vergangenheit einen LDAP Client eingerichtet hat, ist das großartig! Solange der existierenden LDAP-Client über die richtigen Berechtigungen verfügt, Benutzer zu authentifizieren und Informationen über die Gruppenmitgliedschaft zu lesen, benötigen Sie einfach das für den existierenden LDAP-Client erstellte Zertifikat.

Wenn ein Administrator noch nie ein LDAP in Ihrer Organisation eingerichtet hat, lesen Sie bitte in der Google Dokumentation, wie Sie LDAP-Clients hinzufügen können. Wenn Ihr Administrator Schritt 2 erreicht, Konfigurieren von Zugriffsberechtigungen, müssen Sie einige Entscheidungen treffen.

1. Geben Sie den Zugriffs-Level des LDAP Clients an, um Benutzerdaten zu verifizieren, was bedeutet „Wählen Sie die Gruppe von Benutzern aus, die auf diese Passwortsynchronisierung zugreifen können.“

Je nach den Sicherheitsanforderungen Ihrer Organisation sollten Sie den Zugriff auf bestimmte Gruppen einschränken. Sie können beispielsweise einen LDAP-Client erstellen, der nur Schüler enthält und einen zweiten LDAP-Client, der nur Lehrkräfte und Verwaltungsmitarbeiter an Ihrer Schule enthält. Wenn Sie das wählen, müssen Sie zwei separate OIDC Apps und Jamf Connect Konfigurationen für Google erstellen und pflegen – eine für Schüler und eine für alle anderen. Sie würden dann eine Funktion in Ihrem MDM verwenden, um das Konfigurationsprofil auf eine Gruppe von Schülern zu begrenzen und ein separates Konfigurationsprofil für alle anderen nutzen.

Das mag etwas kompliziert klingen, aber Jamf Pro und Jamf School können mühelos eine Gruppe von Maschinen auf der Grundlage von vielen verschiedenen Attributen auswählen. Wir könnten beispielsweise alle Labor-Computer mit einem Schülerprofil und alle 1:1 ausgegebenen Maschinen von Lehrkräften mit einem separaten Profil wählen.

Andere Organisationen möchten vielleicht, dass alle Benutzer diese Funktion verwenden und würden daher allen Zugriff gewähren. Das würde ein Profil und eine Konfiguration für alle erstellen.

Gaz gleich, für welche Konfiguration Sie sich entscheiden, kann Jamf Support immer helfen.

2. Geben Sie den Zugriffs-Level des LDAP Clients an, um Benutzerdaten zu lesen, was bedeutet „Sagen Sie uns, ob Google dem Computer etwas über den Benutzer mitteilen soll.“

Wenn Sie diesen Schritt erreichen, müssen Sie die Option „Von Benutzer-Anmeldedaten verifizieren kopieren“ wählen, um der gleichen Gruppe von Benutzern Zugriff zu gewähren, die sie im obigen Schritt gewählt haben. Aktivieren Sie dann die “Systemattribute“ (sagen Sie uns also den Namen des Benutzers, E-Mail-Adresse usw.) und aktivieren Sie Gruppeninformationen lesen (zeigen Sie uns die Gruppen, zu denen dieser Benutzer gehört, um festzulegen, ob diese Person ein Administrator oder Normalbenutzer auf dem Mac sein sollte.)

Und Sie sind fast fertig! Wenn Sie Schritt 3 erreichen: Laden Sie das generierte Zertifikat herunter, da wir nun genau das haben, was wir für Jamf Connect benötigen. Wir schicken das Zertifikat an unsere Macs weiter, damit Jamf Connect die von Ihnen eben generierte LDAP-Verbindung erstellen kann. Laden Sie die .zip Datei auf einen Mac herunter, um den nächsten Schritt durchzuführen.

Erstellen eines Zertifikats für Jamf Connect und Ihren Mac

Wir müssen dieses Zertifikat in ein Format umwandeln, das unsere Mac Flotte verwenden kann. Wir benötigen eine Terminalanwendung für die Ausführung eines Befehls:

Zur Vereinfachung können Sie die Dateien hinüberziehen, während Sie diesen Befehl ausführen. Dieses Video zeigt, wie Sie das tun können.

Sie können die .p12-Datei beliebig benennen, aber merken Sie sich das Passwort, das Sie für die Datei erstellt haben. Sie benötigen das später für das Hochladen zu Jamf School oder Jamf Pro.

Laden Sie das Zertifikat zu Ihrer Mac Flotte hoch.

Jetzt müssen wir das Zertifikat auf Ihre Macs kriegen. Sie können das tun, bevor Sie Jamf Connect installieren. Daher können Sie ein separates Konfigurationsprofil erstellen oder es in die Payload mit Ihren Jamf Connect Einstellungen einbinden. Beide Optionen sind in Ordnung.

In Jamf Pro navigieren Sie zu Computer → Konfigurationsprofile und erstellen ein neues Profil. Sie können es ganz nach Wunsch benennen, damit sie es später finden und eine Kategorie wählen können. Wählen Sie auf der linken Seite die Payload für Zertifikate aus:

Geben Sie dem Zertifikat einen Namen, den Sie sich merken können, wie Google LDAP Zertifikat, und wählen Sie die Option zum Hochladen des Zertifikats aus. Wählen Sie die .p12-Datei aus, die Sie oben erstellt haben. Geben Sie das Passwort für das Zertifikat ein. Ermöglichen Sie allen Apps Zugriff auf das Zertifikat und deaktivieren Sie die Option, den Export aus dem Schlüsselbund zu erlauben, um Ihrer Verteilung mehr Sicherheit zu bieten.

Wählen Sie die entsprechenden Computer aus, wenden Sie die Konfiguration für Jamf Connect an, die Sie mit der Jamf Connect Configuration App erstellen, die in der DMG-Datei eingeschlossen ist, die Sie von https://account.jamf.com mit Ihren Jamf Nation Anmeldedaten heruntergeladen haben, und dann sind Sie fertig! Teilen Sie Ihren Benutzern mit, was sie zu erwarten haben, wenn sie sich anmelden, wie sie ihre Passwörter ändern und dass ihre Macs nun Google Anmeldedaten verwenden, um auf den Computer zugreifen.