Jamf Blog

Jamf en Okta Device Trust

Jon Lehtinen, Okta, sluit zich aan bij Sean Rabbitt, Jamf, om de integratie Jamf en Okta Device Trust te bespreken in deze JNUC 2023-sessie.

Wat is Okta Device Trust?

Okta Device Trust is een contextuele oplossing voor toegangsbeheer die vertrouwen creëert door middel van gebruikersverificatie. Platformen voor apparaatregistratie en -beheer met elk type eigenaar — zoals BYOD of COPE — kunnen geverifieerd vertrouwen bereiken en afdwingen met behulp van twee soorten gegevens en informatie:

  1. Apparaatregistratie
    Wanneer een apparaat bij Okta wordt geregistreerd, krijgt Okta een aantal basisgegevens over de voorraad van het apparaat - OS-versienummer, of het apparaat is beveiligd met Face of Touch ID en een wachtwoord of apparaatversleuteling. De gebruiker initieert deze registratie door zich te authenticeren met zijn Okta-inloggegevens. Stelt het apparaat in als een bron van vertrouwen om pushmeldingen voor Multi-factor authentication (MFA) te ontvangen.
  2. Apparaatbeheer
    Apparaatbeheer vertelt Okta dat iets de controle heeft over dat apparaat op organisatieniveau door zich in te schrijven voor Mobile Device Management (MDM). Dit vertrouwen wordt tot stand gebracht op iOS door een SCEP-certificaat te ontvangen van een configuratieprofiel dat alleen door MDM op het apparaat kan worden geplaatst of op iOS en iPadOS door een app te ontvangen die is geïnstalleerd via VPP met een geconfigureerde app config en een geheim of beheer.

Hierdoor kan een hele reeks apparaten worden geregistreerd en vertrouwd, inclusief persoonlijke apparaten die zijn geregistreerd met accountgestuurde gebruikersregistratie.

Met apparaatvoorraadgegevens en beheerworkflows met MDM is het mogelijk om echt te beoordelen of een apparaatverbinding of gebruiker veilig is.

Okta verzamelt:

  • basisinformatie over apparaatvoorraden
  • vertrouwen opgebouwd door MDM

Jamf weet het:

  • Alles wat het verzamelt over beheerde apparaten, zoals hoe je organisatie vertrouwen weegt en berekent op basis van voorraadgegevens, Jamf's gepatenteerde SmartGroups, configuratieprofielen en meer. Apparaatbeveiliging wordt afgedwongen naast een geverifieerde aanmelding op basis van wat je beleid en IT-/beveiligingsgroepen vaststellen als je beveiligings- en organisatorische vereisten.

Rabbitt legt bijvoorbeeld uit dat je met Jamf als beheerder apparaten kunt controleren op instellingen die aangeven dat gebruikers FileVault hebben uitgeschakeld en dat een apparaat niet langer is versleuteld. SmartGroups kan bepalen of apparaten niet zijn versleuteld en omdat niet langer wordt voldaan aan de compliance baseline van de organisatie, kan Jamf deze status naar Okta Device Trust sturen om de toegang tot bedrijfsresources en netwerken in te trekken. Omdat deze relatie tussen Okta en Jamf continue verificatie en monitoring ondersteunt, wordt er weer toegang verleend zodra een gebruiker en zijn apparaat zijn hersteld en aan de regels voldoen. Meer informatie over sanering met Jamf.

Samen bieden Jamf en Okta Apple gebruikers toegang tot je resources en zorgen ze er tegelijkertijd voor dat identiteitsverificatie plaatsvindt via phishingbestendige verificatie, zoals biometrie en MFA.

Naast de massale acties van MDM SmartGroups, bieden Okta en Jamf een veilig authenticatiebeleid op individueel niveau, zodat gebruikers vanaf de eerste aanmelding moeten voldoen aan de bedrijfsvereisten voor toegang en authenticatie. Jamf kan regels instellen op basis van gebruikersniveaus, apparaattype of algemene risico-contextindicatoren.

Bekijk de sessie voor meer informatie over authenticators, Global Session Policy, Managed Device Access of Private Access, keychains en wat geverifieerd vertrouwen met Jamf en Okta betekent.

De Okta at Okta ervaring

Okta gebruikt vijf belangrijke authenticatiebeleidsregels die al hun apps routeren, van onbeheerde apparaten naar hun hoogste beleidsregels voor risicoverzekering. De gebruikers, groepen en apparaten worden afgemeten aan Okta's risicobeleid voor consistent, aangepast afdwingen volgens de defense-in-depth, zero-trust-methode door het vaststellen en afdwingen van authenticatie-eisen, zoals wachtwoorden en biometrie en tijdverificatie-eisen.

Door het apparaat te registreren, stelt Okta de identiteit vast van de gebruiker en het apparaat waarop hij zich bevindt. Door het apparaat te beheren, hebben ze de informatie over de apparaatstatus die nodig is om een baseline van vertrouwen vast te stellen. Okta combineert die informatie over de gebruiker en het apparaat met de globale kennis van miljoenen authenticaties per seconde.

Jamf Pro configureren en implementeren

Binnen Okta configureer je een SCEP-server door naar Beveiliging >> Apparaatintegraties >> Voeg een platform toe te gaan.

Je kunt de documentatie voor het instellen van Jamf en Okta hier vinden.

Na de configuratie kun je de Okta Verify-app implementeren op je Mac en mobiele apparaten die worden beheerd in je Jamf instantie.

1. SCEP payload voor macOS-apparaten en doe het opnieuw voor mobiele apparaten

2. Stel niet-exporteerbaar vanuit sleutelhanger in om apps toe te staan

3. App config: de geheime sleutel opslaan

Hier is de configuratiewaarde die je nodig hebt voor iOS/iPadOS-apparaten:

<dict>

<key>managementHint</key>

<string>SECRET_KEY_GOES_HERE</string>

</dict>

En als je dan toch bezig bent, ga dan nog een stapje verder en stel de Okta Device Trust SSO-extensie in voor je beheerde Macs en mobiele apparaten.

Hoe beïnvloedt dit Jamf Connect?

Er zijn meerdere manieren om Jamf Connect met Okta in te stellen. Rabbitt gaat in op de 'gebruikelijke manier' met behulp van de Okta Authentication API, de tweede optie die een OIDC-toepassing opzet. Bekijk de sessie van 38 minuten om hem de details te horen bespreken.

Deze sessie was een schat aan kennis over wat er mogelijk is met Okta en Jamf om Zero Trust toegang en authenticatie te implementeren en af te dwingen.

Wanneer Okta en Jamf zijn geïnstalleerd, bieden ze eindgebruikers een moeiteloze, naadloze ervaring. Ze kunnen inloggen, hun identiteit verifiëren en verbinding maken met de resources en tools die ze nodig hebben om efficiënt en effectief te zijn, heel eenvoudig.

Registreer voor JNUC om toegang te krijgen tot deze en andere sessies op aanvraag.

Schrijf je in voor het Jamf blog

Krijg markttrends, Apple updates en Jamf nieuws direct in je inbox.

Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.