Skip to main content
Jamf Nation, hosted by Jamf, is a knowledgeable community of Apple-focused admins and Jamf users. Join us in person at the ninth annual Jamf Nation User Conference (JNUC) this November for three days of learning, laughter and IT love.

Configuration de Jamf Connect avec les solutions d’identités hybrides Azure AD

Présentation

Cet article explique comment configurer Jamf Connect avec des solutions d’identités hybrides avec Azure AD.

Exigences

Vous avez besoin des éléments suivants pour configurer Jamf Connect dans une solution d’identité hybride avec Azure AD :

  • Jamf Connect 1.8.0 ou version ultérieure
  • macOS 10.12 ou version ultérieure
  • Microsoft Azure
  • Windows Server 2016 (comprend AD FS 4.0)

À propos des environnements utilisant des identités hybrides

Jamf Connect permet aux utilisateurs d’utiliser leur identité cloud pour créer un compte local macOS, puis synchroniser les identifiants locaux et cloud. Cependant, de nombreuses organisations mettent en œuvre des environnements utilisant des identités hybrides qui emploient à la fois des solutions d’identité cloud et sur site. Dans ces environnements, les identifiants des utilisateurs peuvent être stockés sur site et nécessitent une configuration supplémentaire à partager avec un fournisseur d’identité cloud, par exemple Azure AD.

Les administrateurs Azure peuvent créer un environnement utilisant des identités hybrides grâce à Azure AD Connect, qui établit une relation de confiance entre Azure AD et Azure Directory sur site. Azure AD Connect peut ensuite activer l’authentification de l’utilisateur grâce aux méthodes suivantes :

  • Synchronisation de hachage de mot de passe : synchronise le hachage des mots de passe Azure AD et AD sur site d’un utilisateur.
  • Authentification directe : permet aux utilisateurs de se connecter avec le même mot de passe sur Azure AD et AD sur site.
  • Intégration fédérée : permet à votre fournisseur d’identité cloud de changer de méthode d’authentification, par exemple AD FS (Active Directory Federate Services) sur site.

Pour en savoir plus sur ces méthodes d’authentification et sur Azure AD Connect, consultez la documentation Microsoft suivante : https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/whatis-azure-ad-connect

Jamf Connect et les environnements utilisant des identités hybrides

Jamf Connect 1.8.0 (ou version ultérieure) prend en charge les identités hybrides, permettant ainsi une vérification du mot de passe dans le cloud ou sur site.

Si vous utilisez la synchronisation de hachage de mot de passe ou l’authentification directe, Jamf Connect nécessite une configuration supplémentaire pour utiliser les points de terminaison de la plateforme d’identités Microsoft (v2.0) pour l’authentification.

Si une intégration fédérée avec AD FS est mise en œuvre dans votre environnement, Jamf Connect nécessite une configuration supplémentaire pour effectuer séparément les types d’autorisation OpenID Connect suivants :

  • Utilisez l’autorisation par code pour obtenir un jeton d’accès, d’actualisation et d’identification d’Azure AD.
  • Utilisez l’autorisation par mot de passe du propriétaire de la ressource (ROPG) pour vérifier si le nom d’utilisateur et le mot de passe locaux de l’utilisateur correspondent à ses identifiants AD sur site.

Pour en savoir plus sur l’authentification OpenID Connect avec Jamf Connect consultez l’article de la Base de connaissances Comprendre l’authentification OpenID Connect dans Jamf Connect.

Configuration de Jamf Connect avec synchronisation de hachage de mot de passe ou authentification directe

Vous pouvez configurer Jamf Connect pour utiliser les points de terminaison de la plateforme d’identités Microsoft (v2.0) pour l’authentification, ce qui vous permet d’utiliser la synchronisation de hachage de mot de passe ou l’authentification directe entre Azure AD et AD sur site. Cette méthode nécessite moins de configuration dans votre environnement AD qu’une intégration fédérée AD FS.

Pour plus d’informations sur la plateforme d’identités Microsoft (v2.0), consultez la documentation Microsoft suivante : https://docs.microsoft.com/fr-fr/azure/active-directory/develop/azure-ad-endpoint-comparison

Ajoutez les clés de préférence suivantes à vos profils de configuration Jamf Connect Login et Jamf Connect Verify :

Clé Description Exemple
OIDCProvider Spécifie Azure AD comme fournisseur d’identité cloud pour l’authentification. <key>OIDCProvider</key>
<string>Azure</string>
OIDCClientID Identifiant d’application (identifiant client) de l’app enregistrée dans votre fournisseur d’identité utilisé pour authentifier l’utilisateur. <key>OIDCClientID</key>
<string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
OIDCNewPassword Cette clé invite l’utilisateur à saisir à nouveau son mot de passe réseau pour l’authentification ROPG. Elle doit être définie sur false. <key>OIDCNewPassword</key>
<false/>
ROPGProvider Spécifie à quel emplacement l’authentification ROPG aura lieu.
Définissez cette valeur sur « Azure_v2 » pour utiliser la synchronisation de hachage de mot de passe ou l’authentification directe, qui permet à Jamf Connect Login d’utiliser les points de terminaison de la plateforme d’identités Microsoft (v2.0) pour l’authentification.
<key>ROPGProvider</key>
<string>Azure_v2</string>
OIDCROPGID Identifiant client de votre app enregistrée auprès d’Azure AD. Cette valeur est la même que celle de la clé OIDCClientID. <key>OIDCROPGID</key>
<string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
ROPGTenant Code du locataire de votre organisation à utiliser pour l’authentification ROPG. <key>ROPGTenant</key>
<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
ROPGClientSecret Secret du client de votre application Jamf Connect. Lors de la configuration des secrets des clients, tenez compte des scénarios suivants :

Si vous n’utilisez pas un secret du client pour l’authentification ROPG, définissez cette valeur sur « Aucun ».

Si vous utilisez le même secret du client pour l’authentification ROPG et l’autorisation de l’authentification avec Azure AD, ne définissez pas cette clé. Jamf Connect Login utilisera le secret défini avec la clé « OIDCClientSecret » pour l’authentification et la vérification du mot de passe.

Si vous utilisez un secret du client différent pour chaque processus d’authentification, définissez les valeurs respectives des clés « OIDCClientSecret » et « ROPGClientSecret ».

<key>ROPGClientSecret</key>
<string>votre-secret-du-client</string>

Le profil de configuration suivant est un exemple :

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
 <dict>
  <key>OIDCProvider</key> 
  <string>Azure</string>
  <key>OIDCClientID</key>
  <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
  <key>OIDCRedirectURI</key>
  <string>https://127.0.0.1/jamfconnect</string>
  <key>ROPGProvider</key>
  <string>Azure_v2</string>
  <key>ROPGTenant</key>
  <string>13e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
  <key>OIDCROPGID</key>
  <string>5fse52c7-bb36-4889-8517-lkjslkjoe23</string>
  <key>ROPGClientSecret</key>
  <string>36fe230f-811a-4703-965e-0eb569dfc8c1</string>
 </dict>
</plist>

Configuration de Jamf Connect avec une intégration fédérée (AD FS)

Pour séparer le processus d’authentification ROPG d’Azure AD, vous devez d’abord permettre à AD FS d’utiliser OpenID Connect (OIDC). Pour obtenir des instructions, consultez la documentation Microsoft suivante : https://docs.microsoft.com/fr-fr/windows-server/identity/ad-fs/development/enabling-openid-connect-with-ad-fs

Une fois qu’il est possible d’utiliser OIDC avec AD FS, vous devez permettre à Jamf Connect de communiquer avec Azure AD et AD FS.

Ajoutez les clés de préférence suivantes à vos profils de configuration Jamf Connect Login et Jamf Connect Verify :

Clé Description Exemple
OIDCProvider Spécifie Azure AD comme fournisseur d’identité cloud pour l’authentification. <key>OIDCProvider</key>
<string>Azure</string>
OIDCClientID Identifiant d’application (identifiant client) de l’app enregistrée dans votre fournisseur d’identité utilisé pour authentifier l’utilisateur. <key>OIDCClientID</key>
<string>8zcc52c7-ee36-4889-8517-lkjslkjoe23</string>
OIDCNewPassword Cette clé invite l’utilisateur à saisir à nouveau son mot de passe réseau pour l’authentification ROPG avec AD FS. Elle doit être définie sur false. <key>OIDCNewPassword</key>
<false/>
ROPGProvider Spécifie à quel emplacement l’authentification ROPG aura lieu.
Définissez cette valeur sur « Custom » pour utiliser AD FS.
<key>ROPGProvider</key>
<string>Custom</string>
OIDCROPGID Identifiant client de votre application Jamf Connect AD FS qui effectue l’authentification ROPG. <key>OIDCROPGID</key>
<string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>
ROPGRedirectURI URI de redirection utilisé par l’application créée dans AD FS. <key>ROPGRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>
ROPGTenant Code du locataire de votre organisation à utiliser pour l’authentification ROPG. <key>ROPGTenant</key>
<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
ROPGDiscoveryURL Spécifie votre point terminal de découverte OpenID Connect. Cette valeur correspond à votre domaine AD FS suivi de : « /adfs/.well-known/openid-configuration »
<key>ROPGDiscoveryURL</key>
<string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>
ROPGClientSecret Secret du client de votre application Jamf Connect. Lors de la configuration des secrets des clients, tenez compte des scénarios suivants :

Si vous n’utilisez pas un secret du client pour l’authentification ROPG, définissez cette valeur sur « Aucun ».

Si vous utilisez le même secret du client pour l’authentification ROPG et l’autorisation de l’authentification avec Azure AD, ne définissez pas cette clé. Jamf Connect Login utilisera le secret défini avec la clé « OIDCClientSecret » pour l’authentification et la vérification du mot de passe.

Si vous utilisez un secret du client différent pour chaque processus d’authentification, définissez les valeurs respectives des clés « OIDCClientSecret » et « ROPGClientSecret ».

<key>ROPGClientSecret</key>
<string>votre-secret-du-client</string>

Le profil de configuration suivant est un exemple :

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
 <dict>
  <key>OIDCProvider</key> 
  <string>Azure</string>
  <key>OIDCClientID</key>
  <string>3bff52c7-rr36-4889-8517-c5fed2c79573</string>
  <key>OIDCRedirectURI</key>
  <string>https://127.0.0.1/jamfconnect</string>
  <key>ROPGProvider</key>
  <string>Custom</string>
  <key>OIDCROPGID</key>
  <string>86f07d1c-0ae4-437d-9fde-fcf165a5a965</string>
  <key>ROPGTenant</key>
  <string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>
  <key>ROPGRedirectURI</key>
  <string>https://127.0.0.1/jamfconnect</string>
  <key>ROPGDiscoveryURL</key>
  <string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string
  <key>ROPGClientSecret</key>
  <string>36fe230f-811a-4703-965e-0eb569dfc8c1</string>
 </dict>
</plist>

Informations supplémentaires

Pour plus d’informations sur la configuration de Jamf Connect, consultez le Guide de l’administrateur Jamf Connect.

Pour en savoir plus sur l’authentification OpenID Connect avec Jamf Connect, consultez les articles suivants de la Base de connaissances :

Pour plus d’informations sur les solutions d’identités hybrides avec Azure AD, consultez la documentation Microsoft suivante :

Like Comment

Jamf would like to understand your ideal online purchasing experience!