Jamf Blog

Jamf et Okta Device Trust

Jon Lehtinen d’Okta s’est joint à Sean Rabbitt de Jamf pour discuter de l’intégration de Jamf et Okta Device Trust pendant une conférence de la JNUC 2023.

Qu’est-ce que Okta Device Trust ?

Okta Device Trust est une solution de gestion d’accès contextuelle qui établit la confiance en vérifiant les utilisateurs. Quel que soit le modèle de propriété, BYOD ou COPE, les plateformes d’inscription et de gestion des appareils peuvent appliquer une vérification étroite de la fiabilité des demandes d’accès en s’appuyant sur deux types d’informations :

  1. Enregistrement des appareils
    Lorsqu’un appareil est enregistré auprès d’Okta, Okta reçoit des informations de base sur l’appareil : numéro de version de l’OS, activation de Face ID ou Touch ID, code secret ou chiffrement de l’appareil. C’est l’utilisateur qui initie cet enregistrement en s’authentifiant avec ses identifiants Okta. L’appareil devient alors une source de confiance qui peut recevoir des notifications push dans le cadre de l’authentification multifacteur (MFA).
  2. Gestion des appareils
    La gestion des appareils signale à Okta que l’appareil est sous le contrôle de l’organisation du fait de son inscription dans une solution de gestion des appareils mobiles (MDM). Sur iOS, la confiance est établie par un certificat SCEP provenant d’un profil de configuration qui ne peut être placé sur l’appareil que par la MDM. Autre possibilité : les appareils iOS et iPadOS peuvent recevoir une application installée via VPP, à l’aide d’une configuration et d’un code ou d’une commande de gestion.

Cela permet d’inscrire et de vérifier différents types d’appareils, y compris les appareils personnels enregistrés dans le cadre de l’inscription par l’utilisateur basée sur le compte

Grâce aux données d’inventaire des appareils et aux workflows de gestion de la MDM, il est possible d’évaluer réellement si la connexion d’un appareil ou d’un utilisateur est sécurisée.

Ce qu’Okta recueille :

  • Des données d’inventaire de base sur les appareils
  • La confiance établie par la MDM

Ce que Jamf sait :

  • Toutes les informations recueillies sur les appareils gérés : comment votre entreprise pondère et calcule le niveau de confiance en fonction des données d’inventaire, l’appartenance aux Groupes intelligents brevetés de Jamf, les profils de configuration et bien plus encore. Au-delà de la vérification des identifiants de connexion, Jamf assure la conformité des appareils aux règles organisationnelles et aux exigences de sécurité définies par vos équipes.

Comme l’explique S. Rabbitt, un administrateur Jamf peut rechercher les appareils dont les réglages indiquent que FileVault est désactivé et qu’ils ne sont plus chiffrés. Les appareils non chiffrés peuvent être rassemblés dans un Groupe intelligent. Jamf peut ensuite informer Okta Device Trust que les critères de conformité de l’organisation ne sont plus remplis et qu’il faut révoquer l’accès de ces appareils aux ressources et aux réseaux de l’entreprise. Et comme cette relation entre Okta et Jamf assure une vérification et un suivi continus, l’accès sera à nouveau accordé une fois dès que l’utilisateur aura remis son appareil en conformité. En savoir plus sur la correction avec Jamf.

Ensemble, Jamf et Okta sécurisent l’accès de vos utilisateurs Apple aux ressources en vérifiant les identités au moyen d’une méthode d’authentification qui résiste au phishing, comme la biométrie et l’AMF.

Outre les actions groupées permises par les Groupes intelligents de la MDM, Okta et Jamf permettent d’appliquer des règles d’authentification sécurisées au niveau individuel. De cette façon, même les nouveaux utilisateurs sont tenus de répondre aux critères d’authentification de l’entreprise dès la première connexion. Jamf peut définir des règles en fonction du niveau d’accès de l’utilisateur, du type d’appareil et d’indicateurs de contexte de risque.

Regardez la conférence pour en savoir plus sur les authentificateurs, la règle de session globale, l’accès aux appareils gérés ou accès privé, les trousseaux et la confiance vérifiée avec Jamf et Okta.

L’expérience Okta at Okta

Okta utilise cinq grandes règles d’authentification pour acheminer toutes ses applications, des appareils non gérés aux règles encadrant les contextes les plus risqués. Les utilisateurs, les groupes et les appareils sont évalués en fonction des règles de risque d’Okta, qui sont appliquées de façon cohérente et personnalisée. Ces règles suivent une méthode zero-trust de défense en profondeur qui établit et applique différentes exigences d’authentification : mots de passe, biométrie, contrôles limités dans le temps, etc.

Une fois l’appareil inscrit, Okta établit l’identité de l’utilisateur et l’associe à son appareil. La gestion de l’appareil fournit sur son état les informations nécessaires pour établir une base de confiance. Okta combine ces informations sur l’utilisateur et l’appareil avec les connaissances émanant de millions d’authentifications par seconde.

Configuration et déploiement de Jamf Pro

Dans Okta, vous configurez un serveur SCEP en allant dans Sécurité >> Intégrations d’appareils >> Ajouter une plateforme.

Consultez la documentation pour savoir comment mettre en place Jamf et Okta.

Une fois la configuration terminée, vous pouvez déployer l’application Okta Verify sur les Mac et les appareils mobiles gérés dans votre instance Jamf.

1. Distribuez la charge utile SCEP aux appareils macOS et faites de même pour les appareils mobiles.

2. Réglez le paramètre « non exportable depuis le trousseau » de façon à autoriser les applications

3. Configuration des applications : enregistrer la clé secrète

Voici la valeur de configuration dont vous avez besoin pour les appareils iOS/iPadOS :

managementHint

INSÉRER_LA_CLÉ_SECRÈTE

Profitez-en pour configurer l’extension SSO d’Okta Device Trust pour vos Mac et appareils mobiles gérés.

Quel impact sur Jamf Connect ?

Il existe plusieurs façons de configurer Jamf Connect avec Okta. S. Rabbitt présente « l’approche traditionnelle » qui consiste à utiliser l’API d’authentification d’Okta, mais aussi une deuxième option qui met en place une application OIDC. Rendez-vous à la 38e minute de la conférence pour écouter ses explications détaillées.

Cette session a été une mine de connaissances sur les possibilités d’Okta et Jamf pour la mise en œuvre de l’accès et de l’authentification zero-trust.

Une fois en place, Okta et Jamf offrent aux utilisateurs finaux une expérience simple et transparente. Il leur suffit de se connecter et de vérifier leur identité pour se connecter aux ressources et aux outils essentiels à leur travail, sans aucun obstacle à leur productivité.

Inscrivez-vous à la JNUC pour accéder à cette conférence et regarder d’autres sessions à la demande.

S'abonner au blog

Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.