Avec Jamf Connect 2.7, Jamf et Google proposent un nouveau moyen simple de créer des comptes d'utilisateur à la demande sur Mac : avec le nom d'utilisateur et le mot de passe Google. Il est ensuite possible de maintenir la synchronisation de ce mot de passe dans le temps.
Jusqu'à présent, les organisations utilisant Google comme fournisseur d'identité étaient extrêmement limitées lorsqu'elles voulaient synchroniser les mots de passe de leurs utilisateurs macOS avec le cloud. Un administrateur devait soit « faire confiance à l'utilisateur » et le mot de passe était le même, soit établir une liaison manuelle fastidieuse avec le LDAP sécurisé de Google, et faire face au lot de problèmes que cela entraîne pour macOS. Désormais, Jamf intègre Google à la liste de ses fournisseurs d'identité cloud.
Pour commencer :
Jamf Connect utilise le LDAP sécurisé de Google pour synchroniser les mots de passe d'un utilisateur. Pour utiliser ce service, votre organisation doit disposer d'une édition de Google Cloud Identity ou Workspace qui inclut le service LDAP sécurisé de Google:
- Business Plus
- Enterprise
- Education Fundamentals
- Standard
- Teaching and Learning Upgrade
- Plus
Si c'est la première fois que vous configurez ce service, vous aurez besoin de l'assistance d'une personne de l'organisation disposant de droits d'administrateur sur votre compte Google Workspace. Cet administrateur devra obtenir un certificat à partir de l'interface d'administration et le distribuer à vos Mac.
Si un administrateur a déjà configuré un client LDAP, c'est parfait ! Tant que ce client LDAP existant possède les autorisations nécessaires pour authentifier les utilisateurs et lire les informations sur les membres des groupes, vous aurez simplement besoin du certificat créé pour le client LDAP existant.
Si aucun administrateur n'a encore configuré le service LDAP au sein de votre organisation, reportez-vous à la documentation Google pour savoir comment ajouter des clients LDAP. Lorsque votre administrateur arrivera à l'étape 2 - Configurer les autorisations d'accès, il vous faudra prendre certaines décisions :
1. Spécifiez le niveau d'accès du client LDAP pour la vérification des identifiants utilisateur. En d'autres termes, « sélectionnez le groupe d'utilisateurs qui pourra accéder à cette fonction de synchronisation des mots de passe ».
En fonction des besoins de votre organisation en matière de sécurité, vous souhaiterez peut-être restreindre l'accès à certains groupes. Par exemple, vous pouvez créer un client LDAP regroupant uniquement les étudiants et un second client LDAP regroupant uniquement les membres du corps enseignant et le personnel administratif de votre école. Si vous optez pour cette solution, vous devrez créer et maintenir deux applications OIDC et configurations Jamf Connect distinctes pour Google, une pour les étudiants et une pour tous les autres. Vous utiliserez ensuite une fonctionnalité de votre MDM pour étendre le profil de configuration à un groupe d'étudiants et un profil de configuration distinct à tous les autres.
Cela peut sembler un peu compliqué, mais Jamf Pro et Jamf School peuvent aisément cibler un groupe de machines en fonction de nombreux attributs différents. Nous pourrions, par exemple, cibler tous les ordinateurs de laboratoire avec un profil d'étudiant et toutes les machines individuelles des professeurs avec un profil distinct.
D'autres organisations peuvent simplement souhaiter que n'importe quel utilisateur puisse utiliser la fonctionnalité, il suffit alors d'accorder l'accès à tous les utilisateurs. Ainsi, il n'y aurait qu'un seul profil et une seule configuration pour tous.
Quelle que soit la configuration que vous choisissiez, l'assistance Jamf reste à votre disposition pour vous aider.
2. Spécifiez le niveau d'accès du client LDAP pour la lecture des informations utilisateur. En d'autres termes, « dites-nous si vous souhaitez que Google permette à l'ordinateur d'obtenir des informations sur l'utilisateur ».
Lorsque vous passez à cette étape, veillez à sélectionner l'option « Copier depuis "Vérifier les identifiants utilisateur" » pour accorder l'accès au groupe exact d'utilisateurs que vous avez choisi à l'étape précédente. Ensuite, activez les « Attributs du système » (c'est-à-dire indiquez-nous le nom de l'utilisateur, son adresse e-mail, etc.) et activez l'option « Lire les informations du groupe » (c'est-à-dire indiquez-nous les groupes auxquels cet utilisateur appartient afin que nous puissions déterminer s'il doit être un administrateur ou un utilisateur standard sur le Mac).
Vous avez presque fini ! Lorsque vous atteindrez l'étape 3 : Télécharger le certificat généré, nous aurons tout ce dont nous avons besoin pour Jamf Connect. Nous distribuerons le certificat à nos Mac afin que Jamf Connect puisse créer la connexion LDAP que vous venez de créer. Pour réaliser l'étape suivante, téléchargez le fichier .zip sur un Mac.
Créer un certificat pour Jamf Connect et votre Mac
Il nous faut convertir ce certificat dans un format que notre parc de Mac peut utiliser. Nous allons avoir besoin du terminal pour exécuter une commande :
Pour faire plus simple, vous pouvez glisser et déposer les fichiers lors de l'exécution de cette commande. Cette vidéo vous explique comment procéder.
Vous pouvez nommer le fichier .p12 comme bon vous semble, mais n'oubliez pas le mot de passe que vous lui avez attribué. Vous en aurez besoin ultérieurement pour le chargement dans Jamf School ou Jamf Pro.
Charger le certificat dans votre parc de Mac
Maintenant, nous devons placer ce certificat sur vos Mac. Vous pouvez le faire avant d'installer Jamf Connect. Ainsi, vous pouvez créer un profil de configuration distinct ou l'inclure dans l'entité avec vos réglages Jamf Connect. Les deux méthodes sont bonnes.
Dans Jamf Pro, accédez à Ordinateurs → Profils de configuration et créez un nouveau profil. Donnez-lui le nom que vous souhaitez pour pouvoir le retrouver plus tard et choisissez une catégorie. Sur le côté gauche, sélectionnez l'entité Certificats :
Donnez au certificat un nom dont vous vous souviendrez, par exemple Certificat LDAP Google, et sélectionnez l'option permettant de charger le certificat. Choisissez le fichier .p12 que vous avez créé plus haut et entrez le mot de passe du certificat. Autorisez toutes les applications à accéder au certificat et décochez l'option permettant d'exporter depuis le trousseau d'accès pour renforcer la sécurité de votre distribution.
Définissez le périmètre sur vos ordinateurs cibles, appliquez votre configuration pour Jamf Connect que vous avez créée avec l'application Jamf Connect Configuration, incluse dans le .dmg que vous avez téléchargé sur https://account.jamf.com avec vos identifiants Jamf Nation, et le tour est joué ! Expliquez à vos utilisateurs ce à quoi ils doivent s'attendre lorsqu'ils se connectent et comment modifier leurs mots de passe, et votre parc de Mac utilise désormais des identifiants Google pour accéder à l'ordinateur.
Alliez Google Identity et Jamf Connect dès aujourd'hui !
par catégorie :
Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.