Skip to main content
Jamf Nation, hosted by Jamf, is a knowledgeable community of Apple-focused admins and Jamf users. Join us in person at the ninth annual Jamf Nation User Conference (JNUC) this November for three days of learning, laughter and IT love.

Konfigurieren benutzerdefinierter Identitätsdienste zur Verwendung mit Jamf Connect

In diesem Artikel erfahren Sie, wie Sie Jamf Connect für die Verwendung eines benutzerdefinierten cloudbasierten Identitätsdienstes konfigurieren.

Überblick

Von Jamf Connect werden derzeit die folgenden gängigen Cloud-Identitätsdienste unterstützt:

  • Google Cloud Identity
  • IBM Cloud Identity
  • Microsoft Azure AD
  • Okta
  • OneLogin
  • PingFederate

Jamf Connect kann jedoch auch für benutzerdefinierte Identitätsdienste konfiguriert werden, die das Authentifizierungsprotokoll OpenID Connect (OIDC) unterstützen.

Gehen Sie wie folgt vor, um Jamf Connect mit einem benutzerdefinierten Identitätsdienst zu verwenden:

Schritt 1: Jamf Connect in Ihren Identitätsdienst integrieren

Die meisten Identitätsdienste bieten die Möglichkeit, eine App zu registrieren und die Authentifizierung mit OpenID Connect zu aktivieren. Wenn Ihr Identitätsdienst dies unterstützt, erstellen Sie anhand der Anweisungen Ihres Identitätsdienstes die folgenden Werte. Diese müssen später in Jamf Connect in einem Konfigurationsprofil für Computer angegeben werden:

  • Client-ID – Eine eindeutige Kennung für Ihre Jamf Connect App
  • Weiterleitungs-URL – Eine URL, an die Benutzer während des Authentifizierungsvorgangs weitergeleitet werden
  • Ermittlungs-URL – Das OpenID Metadaten-Dokument des Identitätsdienstes, in dem Ihre Konfigurationsdaten für OpenID gespeichert sind. Dieser Wert wird in folgendem Format angegeben: „https://domaene.url.de/.bekannte/openid-konfiguration“

Schritt 2: OpenID Connect Gewährungstypen aktivieren

Von OpenID Connect werden verschiedene Authentifizierungsmethoden (Gewährungstypen) unterstützt. Von Jamf Connect werden die folgenden Gewährungstypen unterstützt, die in Ihrem Identitätsdienst aktiviert werden müssen:

  • Autorisierungscodegewährung – Hierbei wird nach erfolgreicher Authentifizierung der Anmeldedaten des Benutzers für seine Cloud-Identität ein Autorisierungscode an Jamf Connect übermittelt und von Jamf Connect an den Token-Endpunkt Ihres Identitätsdienstes gesendet.
  • Ressourcenbesitzer-Kennwortgewährung (ROPG) – Hierbei werden die Anmeldedaten des Benutzers für seine Cloud-Identität direkt beim Token-Endpunkt Ihres Identitätsdienstes authentifiziert. Diese Authentifizierungsmethode wird nur verwendet, wenn Passwörter synchronisiert werden müssen.

Weitere Informationen zur Authentifizierung mit Jamf Connect finden Sie im Artikel Grundlegende Informationen zu Jamf Connect bei Authentifizierung mit OpenID Connect in der Informationsdatenbank.

Hinweis: Der ROPG-Gewährungstyp wird von einigen Identitätsdiensten nicht unterstützt. Wenn ROPG von Ihrem Identitätsdienst nicht unterstützt wird, können Sie weder Jamf Connect Verify verwenden noch Passwörter während der Accounterstellung mit Jamf Connect Login synchronisieren. Um Probleme bei der Benutzeranmeldung zu vermeiden, müssen Sie deshalb den Einstellungsschlüssel „OIDCNewPassword“ in Ihrem Konfigurationsprofil für Jamf Connect Login auf „true“ setzen.

Schritt 3: Ein Konfigurationsprofil für Jamf Connect erstellen

Nachdem Sie Jamf Connect in Ihren Identitätsdienst integriert haben, können Sie Konfigurationsprofile für Jamf Connect erstellen. Die Konfigurationsprofile müssen in den folgenden Einstellungsdomänen gespeichert werden:

  • com.jamf.connect.login
  • com.jamf.connect.verify (sofern ROPG unterstützt wird)

Ihr Konfigurationsprofil muss die folgenden Einstellungsschlüssel enthalten:

  • OIDCProvider – Als Wert muss „Custom“ angegeben werden.
  • OIDCClientID – Als Wert muss die Client-ID angegeben werden, die von Ihrem Identitätsdienst für Jamf Connect erstellt wurde.
  • OIDCRedirectURI – Als Wert muss die Weiterleitungs-URI Ihrer Jamf Connect App angegeben werden, sofern konfiguriert oder erforderlich.
  • OIDCDiscoveryURL – Als Wert muss die URL des OpenID Connect Metadaten-Dokuments für Ihren Identitätsdienst angegeben werden. Diese Wert wird im folgenden ggf. anzupassenden Format angegeben: „https://domaene.url.de/.bekannte/openid-konfiguration“.
  • OIDCROPGID – Als Wert muss die Client-ID angegeben werden, die für die ROPG-Authentifizierung verwendet wird, sofern diese Authentifizierungsmethode von Ihrem Identitätsdienst unterstützt wird. Dieser Wert entspricht normalerweise dem Wert des Schlüssels „OIDCClientID“.
  • OIDCNewPassword – Wenn lokale Accounts mit einem separaten Passwort erstellt werden sollen oder ROPG von Ihrem Identitätsdienst nicht unterstützt wird, müssen Sie diesen Wert auf „true“ setzen. Wählen Sie die Einstellung „false“, wenn die Passwörter für die lokalen Accounts und die Netzwerkaccounts übereinstimmen sollen.

Hinweis: Je nach dem von Ihnen verwendeten Identitätsdienst müssen möglicherweise weitere Schlüssel konfiguriert werden. Weitere Informationen finden Sie im Jamf Connect Leitfaden für Administratoren.

Nachfolgend finden Sie ein Beispiel für ein Konfigurationsprofil für Jamf Connect Login:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>OIDCProvider</key>
        <string>Custom</string>
        <key>OIDCROPGID</key>
        <string>3bdd52c7-ee36-4689-8517-c5fed2c98s5</string>
        <key>OIDCClientID</key>
        <string>3bdd52c7-ee36-4689-8517-c5fed2c98s5</string>
        <key>OIDCRedirectURI</key>
        <string>https://127.0.0.1/jamfconnect</string>
        <key>OIDCDiscoveryURL</key>
        <string>https://identity-provider-example-address.com/.well-known/openid-configuration</string>
        <key>OIDCNewPassword</key>
        <false/>
     </dict>   
</plist>

Schritt 4: Jamf Connect bereitstellen

Nachdem Sie die Konfigurationsprofile für Jamf Connect erstellt haben, können Sie die Jamf Connect Apps und zugehörigen Konfigurationsprofile entweder lokal oder mithilfe einer MDM-Lösung auf den Zielcomputern installieren.

Bei Verwendung von Jamf Pro finden Sie diesbezüglich weitere Informationen im Artikel Deploying Custom Configuration Profiles using Jamf Pro (Bereitstellen benutzerdefinierter Konfigurationsprofile mit Jamf Pro) in der Informationsdatenbank.

Weitere Informationen

Weitere Informationen finden Sie in den folgenden Abschnitten im Jamf Connect Leitfaden für Administratoren:

Like Comment

Jamf would like to understand your ideal online purchasing experience!