Jamf Blog
Junio 13, 2023 por Sean Rabbitt

Dominio del Inicio de sesión único de inscripción con Jamf y Okta

El SSO de inscripción está disponible en Jamf Pro 10.47 con integración de Okta. Probar su configuración es la clave para una exitosa implementación; lea este blog para saber cómo hacerlo.

Ya está aquí el inicio de sesión único de inscripción (ESSO, por sus siglas en inglés) con el apoyo de Jamf en colaboración con Okta, pero sea cual sea su proveedor de identidad actual, el camino hacia el éxito está sustentado con la prueba de su configuración actual de inicio de sesión único.

Jamf y Okta ofrecen la mejor administración de la identidad de su clase.

¿Qué es el inicio de sesión único de inscripción?

Ya está disponible con el lanzamiento de Jamf Pro 10.47 y en el caso en que Okta sea su proveedor de identidad en la nube: cuando un usuario inicie una inscripción de su dispositivo personal en una MDM, se enviará primero una "aplicación de ayuda" al dispositivo sin necesidad de un ID de Apple ni del esfuerzo del usuario. Esta app de ayuda puede utilizarse para guardar las credenciales del proveedor de identidad (IdP) del usuario para las inevitables 27 solicitudes de inicio de sesión diferentes que llegarán para configurar MFA, Apple iCloud, correo electrónico, activar el ZTNA de Jamf Connect, acceder a servicios en la nube como Office, Jira, Confluence, Salesforce...

El inicio de sesión único de inscripción se basa en la extensión de inicio de sesión único

La cantidad de tiempo que un usuario dedicará a configurar su teléfono será mucho, mucho menor. La extensión de inscripción de inicio de sesión único (ESSOe) permitirá que la experiencia de inscripción sea más fácil y que la vida con su dispositivo BYOD en su organización sea más feliz con el paso del tiempo.

La extensión de inicio de sesión único (SSOe) es tan nueva que tal vez aún no la tenga configurada en su entorno. Okta ha lanzado funcionalidades a todos los usuarios del motor de identidad Okta, y Microsoft acaba de hacer que esté disponible la SSOe de forma general en Azure este mes.

El inicio de sesión único se activa mediante una app instalada en un dispositivo y un perfil de configuración enviado al dispositivo por la MDM.

A diferencia de la ESSOe, que está pensada para dispositivos personales inscritos mediante la inscripción de usuarios a través de cuentas, esta extensión de la norma a los sistemas operativos Apple ya está disponible para alltodos los dispositivos administrados por una MDM, que sean de propiedad institucional a través de cualquier método o personal mediante la inscripción de usuarios.

La extensión de inicio de sesión único es compatible con Okta mediante la app Okta Verify en macOS, iOS y iPadOS. En Azure, la extensión es compatible con la app Company Portal en macOS y con Microsoft Authenticator en iOS y iPadOS.

Sea cual sea su proveedor de identidad, la simple presencepresencia de la app en el dispositivo, combinada con un perfil de configuración que envía a través de Jamf, es todo lo que su usuario necesitará realmente. No necesitará registrar un dispositivo en Okta ni inscribir un dispositivo para el acceso condicional de Azure. Lo único que tendrá que hacer un usuario es iniciar sesión una vez en algo protegido por su proveedor de identidad. Después, la SSOe informa al dispositivo Apple para que utilice la app de ayuda para almacenar automáticamente en caché las credenciales del usuario y negociar los tokens de acceso a los servicios.

Modificación de las políticas de autenticación para utilizar el inicio de sesión único

Para que funcione el inicio de sesión único de inscripción, deben adaptarse sus políticas de autenticación y de acceso condicional para aprovechar las ventajas del inicio de sesión único. Tómese su tiempo ahora para comunicarse con su equipo de identidad y discutir la posibilidad de permitir que Okta Verify sea su método de autenticación. Para una seguridad avanzada, analice el uso de la biometría como un "segundo factor" que no sea susceptible de ser víctima de phishing. Para los usuarios de Azure, aunque la ESSO no esté disponible en este momento, analice el uso de las nuevas concesiones de Fuerza de autenticación y "Requerir MFA" en sus políticas de acceso condicional.

La política de autenticación o la política de acceso condicional tendrán que permitir este nuevo proceso simplificado de inicio de sesión para que sus usuarios finales accedan a los diversos recursos en la nube, tales como el correo electrónico, iCloud, la activación de Jamf Connect ZTNA y otros; de lo contrario, como siempre, se tendrá que escribir 27 veces al día la vieja contraseña, como en aquellos tiempos.

Utilice Jamf Pro para dirigirse a grupos de prueba y dispositivos

A diferencia de algunas apps o configuraciones que puede probar localmente, las extensiones de inicio de sesión único mustdeben transferirse con un comando push por medio de una MDM como Jamf Pro o Jamf School. Pero estamos preparados para eso.

Una vez que su equipo de identidad haya establecido las políticas de autenticación y acceso condicional, cree un grupo de dispositivos de prueba y un equipo de voluntarios para probar el SSOe día a día. Puede utilizar un grupo de dispositivos estático o un grupo de computadoras estático para elegir un grupo específico de dispositivos que reciban la app Okta Verify mediante políticas o mediante la instalación automática VPP, así como el perfil de configuración.

Una vez que su grupo de prueba tenga la app y la configuración, simplemente siga con sus actividades cotidianas. Conéctese a sus aplicaciones en la nube, acceda a sus sitios web corporativos con inicios de sesión OAuth, SAML y OIDC, y verá surgir la magia.

Una vez que sus usuarios se sientan cómodos y haya comprobado que los usuarios finales pueden acceder a sus recursos de misión crítica, instale la app y la configuración en su flota y escuche los suspiros de "aaaah...": el inicio de sesión único es realmente un inicio de sesión único para no tener que teclear 27 veces el mismo nombre de usuario y contraseña una y otra vez.

Aproveche las ventajas de ESSO con Jamf Pro y Okta.

Sean Rabbitt
Suscríbase al blog de Jamf

Acceda a las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf recibidas directamente en su bandeja de entrada.

Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.