Maîtriser l’authentification unique d’inscription avec Jamf et Okta

La SSO d'inscription est disponible dans Jamf Pro 10.47 avec l'intégration d'Okta. Pour réussir votre implémentation, la clé consiste à tester votre configuration. Lisez cet article de blog pour savoir comment procéder.

Juin 13 2023 Par

Sean Rabbitt

L'authentification unique d'inscription (ESSO), pris en charge par Jamf en partenariat avec Okta, est désormais une réalité. Mais quel que soit votre fournisseur d'identité actuel, vous devrez tester abondamment votre configuration d'authentification unique actuelle pour réussir son implémentation.

Jamf et Okta offrent une solution de gestion d'identité de premier ordre.

Qu'est-ce que l'authentification unique d'inscription ?

Avec Jamf Pro 10.47, et si Okta est votre fournisseur d'identité cloud : lorsqu'un utilisateur lance l'inscription de son appareil personnel dans la MDM, un « helper » est d'abord poussée vers l'appareil, sans identifiant Apple ni intervention de l'utilisateur. Cette application peut contenir les identifiants IdP de l'utilisateur pour satisfaire les innombrables – et inévitables – demandes de connexion inévitables associées à la configuration de l'AMF, d'Apple iCloud et du courrier électronique, l'activation du ZTNA Jamf Connect, l'accès aux services cloud comme Office, Jira, Confluence, SalesForce, etc.

L'authentification unique d'inscription repose sur l'extension d'authentification unique.

Le temps nécessaire pour configurer son nouveau téléphone est en passe de diminuer considérablement. L'extension d'authentification unique d'inscription (ESSOe) va faciliter l'expérience d'onboarding et l'utilisation de votre appareil BYOD à long terme.

L'extension d'authentification unique (SSOe) est si récente que vous ne l'avez peut-être pas encore installée dans votre environnement. Okta propose cette fonctionnalité à tous les tenants d'Okta Identity Engine, et Microsoft a mis la SSOe à disposition de tous sur Azure ce mois-ci.

L'authentification unique s'appuie sur une application installée sur un appareil qui reçoit un profil de configuration de la MDM.

Contrairement à l'ESSOe, qui est spécialement destinée aux appareils personnels utilisant l'inscription par l'utilisateur basée sur le compte, cette extension de norme aux systèmes d'exploitation Apple est disponible dès maintenant pour tous les appareils gérés par la MDM. Et cela vaut aussi bien pour ceux qui appartiennent à l’organisation, tous modèles confondus, que pour les appareils personnel inscrits par l'utilisateur.all

L'extension d'authentification unique est prise en charge par Okta à l'aide de l'application Okta Verify sur macOS, iOS et iPadOS. Sur Azure, l'extension est prise en charge par l'application Company Portal sur macOS et par Microsoft Authenticator sur iOS et iPadOS.

Quel que soit votre fournisseur d'identité, la simple présence de l'application sur l'appareil, combinée à un profil de configuration envoyé via Jamf, suffit à activer la fonctionnalité.presence L'utilisateur n'aura pas besoin d'enregistrer son appareil auprès d'Okta ni de l'inscrire pour l'accès conditionnel Azure. Il n'aura qu'à se connecter une fois à un système protégé par votre fournisseur d'identité. La SSOe demandera alors l'appareil Apple d'utiliser le helper pour mettre automatiquement en cache les identifiants de l'utilisateur et négocier les jetons d'accès aux services.

Modifier les règles d'authentification pour utiliser la SSO

Pour que l'ESSO fonctionne, vous devez adapter vos règles d'authentification et d'accès conditionnel. Communiquez dès maintenant avec votre équipe chargée des identités pour voir comment autoriser Okta Verify comme méthode d'authentification. Discutez également de la biométrie comme « deuxième facteur » à l'épreuve du phishing pour un maximum de sécurité. Vous utilisez Azure ? Même si l'ESSO n'est pas encore disponible, discutez de l'ajout des nouveaux octrois Force d'authentification et « Exiger l'AMF » à vos règles d'accès conditionnel.

La règle d'authentification ou d'accès conditionnel devra autoriser ce nouveau processus de connexion simplifié pour que vos utilisateurs finaux puissent accéder aux ressources cloud comme l'e-mail, iCloud, et l'activation du ZTNA Jamf Connect. Autrement, ils en seront réduits à saisir leur mot de passe 36 fois par jour comme au bon vieux temps.

Utilisez Jamf Pro pour cibler des groupes et des appareils de test

Contrairement à certaines applications ou configurations que vous pouvez tester localement, les extensions d'authentification unique doivent être transmises via une solution de MDM comme Jamf Pro ou Jamf School.must Mais nous sommes prêts.

Une fois que votre équipe en charge des identités aura mis en place les règles d'authentification et d'accès conditionnel adaptées, créez un groupe d'appareils de test et rassemblez une équipe de volontaires pour tester la SSOe au quotidien. Créez un groupe statique d'appareils ou d'ordinateurs pour leur envoyer l'application Okta Verify et le profil de configuration via une règle ou l'installation automatique VPP.

Une fois que votre groupe de test a reçu l'application et la configuration, laissez les utilisateurs vaquer à leurs occupations quotidiennes. Ils vont se connecter aux applications cloud, consulter les sites web internes protégés par des connexions OAuth, SAML et OIDC... et la magie s'opérera.

Une fois que vos utilisateurs sont à l'aise et que vous avez vérifié qu'ils accèdent bien à toutes les ressources utiles, déployez l'application et la configuration au reste de votre flotte et laissez-vous bercer par les soupirs de satisfaction. Plus besoin de saisir le même nom d'utilisateur et le même mot de passe à longueur de journée : cette fois, on parle bien d'authentification unique.

Profitez des avantages de l'ESSO avec Jamf Pro et Okta.

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.

Étiquettes: