Skip to main content
Jamf Nation, hosted by Jamf, is a knowledgeable community of Apple-focused admins and Jamf users. Join us in person at the ninth annual Jamf Nation User Conference (JNUC) this November for three days of learning, laughter and IT love.

Konfigurieren von Jamf Connect mit Hybrididentitätslösungen in Azure AD

Überblick

In diesem Artikel erfahren Sie, wie Sie Jamf Connect mit Hybrididentitätslösungen in Azure AD konfigurieren.

Anforderungen

Für die Konfiguration von Jamf Connect mit einer Hybrididentitätslösung in Azure AD wird Folgendes benötigt:

  • Jamf Connect ab Version 1.8.0
  • macOS ab Version 10.12
  • Microsoft Azure
    • Eine in Azure AD registrierte Jamf Connect App Weitere Informationen finden Sie im Abschnitt Integration in einen Identitätsdienst im Jamf Connect Leitfaden für Administratoren.
    • Azure AD Connect
  • Windows Server 2016 (mit ADFS 4.0)

Informationen zu Hybrididentitätslösungen

Mit Jamf Connect können Benutzer lokale macOS Accounts anhand ihrer Cloud-Identität erstellen und anschließend ihre Anmeldedaten für den lokalen Account und den Account beim Cloud-Identitätsdienst synchronisieren. In vielen Organisationen kommen jedoch sowohl cloudbasierte als auch lokale Identitätslösungen zum Einsatz, sodass Umgebungen mit Hybrididentitäten entstehen. In diesen Umgebungen können die Anmeldedaten der Benutzer vor Ort gespeichert werden. Für die Verwendung eines cloudbasierten Identitätsdienstes wie Azure AD müssen zudem zusätzliche Einstellungen konfiguriert werden.

Mithilfe von Azure AD Connect können Azure Administratoren in Umgebungen mit Hybrididentitäten die Verbindung zwischen Azure AD und einem lokalen Active Directory Verzeichnis als vertrauenswürdig kennzeichnen. Anschließend kann die Benutzerauthentifizierung mithilfe der folgenden Optionen in Azure AD Connect aktiviert werden:

  • Passwortsynchronisierung mit Hashwerten – Hiermit werden die Hashwerte der Passwörter für den Azure AD Account und den lokalen AD Account eines Benutzers synchronisiert.
  • Passthrough-Authentifizierung – Hiermit können sich Benutzer mit demselben Passwort bei ihrem Azure AD Account und ihrem lokalen AD Account authentifizieren.
  • Integration von Verbunddiensten – Hiermit kann die Authentifizierung vom cloudbasierten Identitätsdienst an eine andere Authentifizierungsstelle übergeben werden, z. B. an eine lokal bereitgestellte Instanz von Active Directory Federate Services (ADFS).

Weitere Informationen zu diesen Authentifizierungsmethoden und Azure AD Connect finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/de-de/azure/active-directory/hybrid/whatis-azure-ad-connect

Jamf Connect in Umgebungen mit Hybrididentitäten

Ab Version 1.8.0 werden von Jamf Connect Hybrididentitäten unterstützt, sodass die Passwortverifizierung sowohl in der Cloud als auch lokal durchgeführt werden kann.

Wenn Sie in Ihrer Umgebung die Passwortsynchronisierung mit Hashwerten oder die Passthrough-Authentifizierung nutzen, müssen in Jamf Connect jedoch zusätzliche Einstellungen konfiguriert werden, damit Endpunkte von Microsoft Identity Platform (v2.0) zur Authentifizierung von Benutzern verwendet werden können.

Bei der Integration von Verbunddiensten mit ADFS muss Jamf Connect so konfiguriert werden, dass die folgenden OpenID Connect Gewährungstypen separat ausgeführt werden:

  • Autorisierungscodegewährung für den Abruf eines Zugriffs-, Aktualisierungs- und ID-Tokens von Azure AD
  • Ressourcenbesitzer-Kennwortgewährung (ROPG) für den Abgleich der Anmeldedaten für den lokalen Account des Benutzers mit denen seines lokalen AD Accounts

Weitere Informationen zur Authentifizierung mit OpenID Connect in Jamf Connect finden Sie im Artikel Grundlegende Informationen zu Jamf Connect bei Authentifizierung mit OpenID Connect in der Informationsdatenbank.

Konfigurieren von Jamf Connect für die Passwortsynchronisierung mit Hashwerten oder die Passthrough-Authentifizierung

Jamf Connect unterstützt die Authentifizierung von Benutzern über Endpunkte von Microsoft Identity Platform (v2.0), sodass für die Kommunikation zwischen Azure AD und dem lokalen AD Verzeichnis die Passwortsynchronisierung mit Hashwerten oder die Passthrough-Authentifizierung verwendet werden kann. Der Konfigurationsaufwand für diese Methode ist geringer als bei einer Integration des ADFS Verbunddienstes.

Weitere Informationen zu Microsoft Identity Platform (v2.0) finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/de-de/azure/active-directory/develop/azure-ad-endpoint-comparison

Fügen Sie Ihren Konfigurationsprofilen für Jamf Connect Login und Jamf Connect Verify die folgenden Einstellungsschlüssel hinzu:

Schlüssel Beschreibung Beispiel
OIDCProvider Legt Azure AD als den für die Authentifizierung zu verwendenden cloudbasierten Identitätsdienst fest. <key>OIDCProvider</key>
<string>Azure</string>
OIDCClientID Die für die Authentifizierung des Benutzers verwendete Anwendungs-ID (Client-ID) der App, die bei Ihrem Identitätsdienst registriert wurde. <key>OIDCClientID</key>
<string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
OIDCNewPassword Mit diesem Schlüssel wird der Benutzer aufgefordert, sein Netzwerkpasswort zur Authentifizierung per ROPG erneut einzugeben. Der Schlüssel muss den Wert „false“ aufweisen. <key>OIDCNewPassword</key>
<false/>
ROPGProvider Hiermit wird festgelegt, bei welchem Dienst die Ressourcenbesitzer-Kennwortgewährung (ROPG) erfolgt.
Wenn eine Passwortsynchronisierung mit Hashwerten oder eine Passthrough-Authentifizierung zum Einsatz kommt, stellen Sie als Wert „Azure_v2“ ein. Dies ermöglicht die Verwendung der Endpunkte von Microsoft Identity Platform (v2.0) zur Authentifizierung in Jamf Connect Login.
<key>ROPGProvider</key>
<string>Azure_v2</string>
OIDCROPGID Die Client-ID der bei Azure AD registrierten App. Dieser Wert entspricht dem des Schlüssels „OIDCClientID“. <key>OIDCROPGID</key>
<string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
ROPGTenant Hierbei handelt es sich um die Mandanten-ID, die in Ihrer Organisation für die Authentifizierung per Ressourcenbesitzer-Kennwortgewährung (ROPG) verwendet werden soll. <key>ROPGTenant</key>
<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
ROPGClientSecret Das Client-Geheimnis Ihrer Jamf Connect Anwendung. Beachten Sie beim Konfigurieren eines Client-Geheimnisses Folgendes:

Wenn Sie für eine ROPG-Authentifizierung kein Client-Geheimnis verwenden, legen Sie als Wert „None“ fest.

Wenn Sie für die ROPG-Authentifizierung und die Autorisierungsgewährung bei Azure AD dasselbe Client-Geheimnis verwenden, konfigurieren Sie diesen Schlüssel nicht. Das mit dem Schlüssel „OIDCClientSecret“ festgelegte Geheimnis wird von Jamf Connect Login sowohl für die Authentifizierung als auch die Passwortverifizierung verwendet.

Wenn Sie für beide Authentifizierungsvorgänge jeweils ein anderes Client-Geheimnis verwenden, müssen Sie sowohl den Schlüssel „OIDCClientSecret“ als auch den Schlüssel „ROPGClientSecret“ mit entsprechenden Werten konfigurieren.

<key>ROPGClientSecret</key>
<string>ihr-client-geheimnis</string>

Nachfolgend finden Sie ein Beispiel für ein Konfigurationsprofil:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
 <dict>
  <key>OIDCProvider</key> 
  <string>Azure</string>
  <key>OIDCClientID</key>
  <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
  <key>OIDCRedirectURI</key>
  <string>https://127.0.0.1/jamfconnect</string>
  <key>ROPGProvider</key>
  <string>Azure_v2</string>
  <key>ROPGTenant</key>
  <string>13e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
  <key>OIDCROPGID</key>
  <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
  <key>ROPGClientSecret</key>
  <string>36fe230f-811a-4703-965e-0eb569dfc8c1</string>
 </dict>
</plist>

Konfigurieren von Jamf Connect für die Integration eines Verbunddienstes (ADFS)

Um per ROPG durchgeführte Authentifizierungsvorgänge von Azure AD zu trennen, müssen Sie zunächst OpenID Connect (OIDC) in ADFS aktivieren. Eine entsprechende Anleitung finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/development/enabling-openid-connect-with-ad-fs

Nach der Aktivierung von OIDC in ADFS müssen Sie die Kommunikationsverbindung zwischen Jamf Connect und Azure AD sowie ADFS konfigurieren.

Fügen Sie Ihren Konfigurationsprofilen für Jamf Connect Login und Jamf Connect Verify die folgenden Einstellungsschlüssel hinzu:

Schlüssel Beschreibung Beispiel
OIDCProvider Legt Azure AD als den für die Authentifizierung zu verwendenden cloudbasierten Identitätsdienst fest. <key>OIDCProvider</key>
<string>Azure</string>
OIDCClientID Die für die Authentifizierung des Benutzers verwendete Anwendungs-ID (Client-ID) der App, die bei Ihrem Identitätsdienst registriert wurde. <key>OIDCClientID</key>
<string>8zcc52c7-ee36-4889-8517-lkjslkjoe23</string>
OIDCNewPassword Mit diesem Schlüssel wird der Benutzer aufgefordert, sein Netzwerkpasswort zur Authentifizierung per ROPG über ADFS erneut einzugeben. Der Schlüssel muss den Wert „false“ aufweisen. <key>OIDCNewPassword</key>
<false/>
ROPGProvider Hiermit wird festgelegt, bei welchem Dienst die Ressourcenbesitzer-Kennwortgewährung (ROPG) erfolgt.
Stellen Sie bei Verwendung von ADFS als Wert „Custom“ ein.
<key>ROPGProvider</key>
<string>Custom</string>
OIDCROPGID Die Client-ID Ihrer Jamf Connect ADFS Anwendung, von der die Authentifizierung per ROPG durchgeführt wird. <key>OIDCROPGID</key>
<string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>
ROPGRedirectURI Die Weiterleitungs-URI, die von der erstellten Anwendung für ADFS verwendet wird. <key>ROPGRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>
ROPGTenant Hierbei handelt es sich um die Mandanten-ID, die in Ihrer Organisation für die Authentifizierung per Ressourcenbesitzer-Kennwortgewährung (ROPG) verwendet werden soll. <key>ROPGTenant</key>
<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
ROPGDiscoveryURL Gibt den Endpunkt für die Ermittlung per OpenID Connect an. Geben Sie als Wert Ihre ADFS Domäne sowie Folgendes an: „/adfs/.bekannte/openid-konfiguration“
<key>ROPGDiscoveryURL</key>
<string>https://adfs.jamfconnect.com/adfs/.bekannte/openid-konfiguration</string>
ROPGClientSecret Das Client-Geheimnis Ihrer Jamf Connect Anwendung. Beachten Sie beim Konfigurieren eines Client-Geheimnisses Folgendes:

Wenn Sie für eine ROPG-Authentifizierung kein Client-Geheimnis verwenden, legen Sie als Wert „None“ fest.

Wenn Sie für die ROPG-Authentifizierung und die Autorisierungsgewährung bei Azure AD dasselbe Client-Geheimnis verwenden, konfigurieren Sie diesen Schlüssel nicht. Das mit dem Schlüssel „OIDCClientSecret“ festgelegte Geheimnis wird von Jamf Connect Login sowohl für die Authentifizierung als auch die Passwortverifizierung verwendet.

Wenn Sie für beide Authentifizierungsvorgänge jeweils ein anderes Client-Geheimnis verwenden, müssen Sie sowohl den Schlüssel „OIDCClientSecret“ als auch den Schlüssel „ROPGClientSecret“ mit entsprechenden Werten konfigurieren.

<key>ROPGClientSecret</key>
<string>ihr-client-geheimnis</string>

Nachfolgend finden Sie ein Beispiel für ein Konfigurationsprofil:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
 <dict>
  <key>OIDCProvider</key> 
  <string>Azure</string>
  <key>OIDCClientID</key>
  <string>3bff52c7-rr36-4889-8517-c5fed2c79573</string>
  <key>OIDCRedirectURI</key>
  <string>https://127.0.0.1/jamfconnect</string>
  <key>ROPGProvider</key>
  <string>Custom</string>
  <key>OIDCROPGID</key>
  <string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>
  <key>ROPGTenant</key>
  <string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
  <key>ROPGRedirectURI</key>
  <string>https://127.0.0.1/jamfconnect</string>
  <key>ROPGDiscoveryURL</key>
  <string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string
  <key>ROPGClientSecret</key>
  <string>36fe230f-811a-4703-965e-0eb569dfc8c1</string>
 </dict>
</plist>

Weitere Informationen

Weitere Informationen zur Konfiguration von Jamf Connect finden Sie im Jamf Connect Leitfaden für Administratoren.

Weitere Informationen zur Authentifizierung mit OpenID Connect in Jamf Connect finden Sie in den folgenden Artikeln in der Informationsdatenbank:

Weitere Informationen zu Hybrididentitätslösungen in Azure AD finden Sie in der folgenden Dokumentation von Microsoft:

Like Comment

Jamf would like to understand your ideal online purchasing experience!