Skip to main content
Jamf Nation, hosted by Jamf, is a knowledgeable community of Apple-focused admins and Jamf users. Join us in person at the ninth annual Jamf Nation User Conference (JNUC) this November for three days of learning, laughter and IT love.

Configuración de proveedores de identidades personalizados con Jamf Connect

Este artículo explica cómo configurar Jamf Connect con un proveedor de identidades (IdP) de nube personalizado.

Descripción

Actualmente, Jamf Connect admite los siguientes proveedores de identidades (IdP) de nube estándar:

  • Google Cloud Identity
  • IBM Cloud Identity
  • Microsoft Azure AD
  • Okta
  • OneLogin
  • PingFederate

Sin embargo, Jamf Connect también se puede configurar con IdP personalizados que admiten el protocolo de autenticación OpenID Connect (OIDC).

Para usar Jamf Connect con un IdP personalizado, completa los siguientes pasos:

Paso 1: Integra Jamf Connect con tu proveedor de identidades

La mayoría de IdP proporcionan una forma de añadir una app y activar la autenticación con OpenID Connect. Si se admite, sigue las instrucciones del IdP para generar los siguientes valores, que luego añadirás a un perfil de configuración de ordenadores de Jamf Connect:

  • Client ID (ID de cliente): Un identificador único para tu app de Jamf Connect.
  • Redirect URL (URL de redireccionamiento): Una URL que redirige a los usuarios durante el proceso de autenticación.
  • Discovery URL (URL de detección): El documento de metadatos de OpenID de tu IdP que almacena información de configuración de OpenID. Este valor aparece en el siguiente formato: «https://domain.url.com/.well-known/openid-configuration»

Paso 2: Activa tipos de concesión de OpenID Connect

OpenID Connect admite varios flujos de autenticación (concesiones). Jamf Connect usa los siguientes tipos de concesión, que es posible que deban activarse en tu IdP:

  • Authorization code (Código de autorización): Autentica el nombre de usuario y contraseña de nube del usuario a cambio de un código de autorización, que Jamf Connect envía al punto final de token del IdP.
  • Resource Owner Password Grant (ROPG) (Concesión de contraseña de propietario de recurso [ROPG]): Autentica el nombre de usuario y la contraseña de nube del usuario directamente en el punto final de token del IdP. Este método de autenticación solo se usa para la sincronización de contraseñas.

Si quieres más información sobre la autenticación con Jamf Connect, consulta el artículo de la base de conocimientos Descripción de Jamf Connect con autenticación de OpenID Connect.

Nota: Es posible que algunos IdP no admitan flujos de concesión de ROPG. Si tu IdP no admite ROPG, no podrás usar Jamf Connect Verify ni sincronizar contraseñas durante la creación de cuentas con Jamf Connect Login. Para evitar problemas de inicio de sesión, necesitarás definir la clave de preferencias OIDCNewPassword como verdadera (true) en tu perfil de configuración de Jamf Connect Login.

Paso 3: Crea un perfil de configuración de Jamf Connect

Una vez que Jamf Connect se integra con tu IdP, puedes crear perfiles de configuración de Jamf Connect. Los perfiles de configuración deben escribirse en los siguientes dominios de preferencias:

  • com.jamf.connect.login
  • com.jamf.connect.verify (si se admite ROPG)

Tu perfil de configuración debe contener las siguientes claves de preferencias:

  • OIDCProvider: Definida como Custom (Personalizado).
  • OIDCClientID: Definida como el ID de cliente generado por tu IdP para Jamf Connect.
  • OIDCRedirectURI: Definida como el URI de redireccionamiento para tu app Jamf Connect, si se configura o es un requisito.
  • OIDCDiscoveryURL: Definida como la URL del documento de metadatos de OpenID Connect para tu IdP. Este valor tiene el siguiente formato: «https://domain.url.com/.well-known/openid-configuration».
  • OIDCROPGID: Definido como el ID de cliente usado para la autenticación ROPG, si tu IdP lo admite. Este valor suele coincidir con tu valor de OIDCClientID.
  • OIDCNewPassword: Definido como verdadero (true) si quieres que las cuentas locales se creen con una contraseña diferente o si tu IdP no admite ROPG. Definido como falso (false) si quieres que las cuentas locales se creen con la contraseña empleada para las cuentas de red.

Nota: Tu IdP puede requerir más claves. Si quieres más información, consulta la Guía del administrador de Jamf Connect.

Veamos un ejemplo de perfil de configuración para Jamf Connect Login:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>OIDCProvider</key>
        <string>Custom</string>
        <key>OIDCROPGID</key>
        <string>3bdd52c7-ee36-4689-8517-c5fed2c98s5</string>
        <key>OIDCClientID</key>
        <string>3bdd52c7-ee36-4689-8517-c5fed2c98s5</string>
        <key>OIDCRedirectURI</key>
        <string>https://127.0.0.1/jamfconnect</string>
        <key>OIDCDiscoveryURL</key>
        <string>https://identity-provider-example-address.com/.well-known/openid-configuration</string>
        <key>OIDCNewPassword</key>
        <false/>
     </dict>   
</plist>

Paso 4: Implanta Jamf Connect

Después de crear perfiles de configuración para Jamf Connect, puedes instalar apps Jamf Connect y perfiles de configuración localmente o en ordenadores de destino mediante una solución de MDM.

Si usas Jamf Pro, consulta el artículo de la base de conocimientos Implantación de perfiles de configuración personalizados con Jamf Pro.

Información adicional

Si quieres más información, consulta las siguientes secciones de la Guía del administrador de Jamf Pro:

Like Comment

Jamf would like to understand your ideal online purchasing experience!