Tutorial: Integration des einmaligen Anmeldens von Microsoft Entra mit Jamf Pro

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Jamf Pro in Microsoft Entra ID integrieren. Die Integration von Jamf Pro in Microsoft Entra ID ermöglicht Folgendes:

  • Nutzen Sie Microsoft Entra ID um zu steuern, wer Zugriff auf Jamf Pro hat.
  • Sie können es Ihren Benutzern ermöglichen, sich mit ihrem Azure AD-Konto automatisch bei Microsoft Entra anzumelden.
  • Verwalten Sie Ihre Konten zentral im Azure-Portal.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • Ein SSO-fähiges Jamf Pro-Abonnement

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Jamf Pro unterstützt SP- und IdP-initiiertes einmaliges Anmelden.

Zum Konfigurieren der Integration von Jamf Pro in Microsoft Entra ID müssen Sie Jamf Pro aus dem Katalog Ihrer Liste mit verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Jamf Pro in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Jamf Pro aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens in Microsoft Entra ID für Jamf Pro

Konfigurieren und testen Sie das einmalige Anmelden (SSO) von Microsoft Entra mit Jamf Pro mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Jamf Pro eingerichtet werden.

In diesem Abschnitt konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra bei Jamf Pro.

  1. Konfigurieren des einmaligen Anmeldens in Microsoft Entra ID, damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra Testbenutzer, um Microsoft Entra-SSO mithilfe des Kontos von B. Simon zu testen.
    2. Weisen Sie den Microsoft Entra Testbenutzer zu, damit B. Simon einmaliges Anmelden in Microsoft Entra ID verwenden kann.
  2. Konfigurieren Sie das einmalige Anmelden in Jamf Pro, um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren.
    1. Erstellen Sie einen Jamf Pro-Testbenutzer, um in Jamf Pro ein Pendant von B.Simon zu erhalten, das mit der Benutzerdarstellung in Microsoft Entra verknüpft ist.
  3. Testen Sie die SSO-Konfiguration, um sich zu vergewissern, dass sie funktioniert.

Konfigurieren der einmaligen Anmeldung in Microsoft Entra ID

In diesem Abschnitt aktivieren Sie das einmalige Anmelden (SSO) von Microsoft Entra.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zur Anwendungsintegrationsseite unter Identität>Anwendungen>Unternehmensanwendungen>Jamf Pro und dann zum Abschnitt Verwalten, und wählen Sie Einmaliges Anmelden aus.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten das Stiftsymbol für Grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Edit the Basic SAML Configuration page.

  5. Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte für die folgenden Felder ein, wenn Sie die Anwendung im IdP-initiierten Modus konfigurieren möchten:

    a. Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://<subdomain>.jamfcloud.com/saml/metadata.

    b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://<subdomain>.jamfcloud.com/saml/SSO.

  6. Wählen Sie Zusätzliche URLs festlegen aus. Wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten, geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<subdomain>.jamfcloud.com.

    Hinweis

    Hierbei handelt es sich um Beispielwerte. Sie müssen diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL aktualisieren. Den tatsächlichen Wert des Bezeichners finden Sie im Abschnitt Single Sign-On (Einmaliges Anmelden) des Jamf Pro-Portals. Dies wird später in diesem Tutorial beschrieben. Sie können den tatsächlichen Wert für die Unterdomäne aus dem Bezeichnerwert extrahieren und diese Information als Ihre Anmelde- und Antwort-URL verwenden. Sie können sich auch die Formeln im Abschnitt Grundlegende SAML-Konfiguration ansehen.

  7. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die Schaltfläche Kopieren aus, um die App-Verbundmetadaten-URL zu kopieren, und speichern Sie sie auf Ihrem Computer.

    The SAML Signing Certificate download link

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt wird eine Testbenutzerin namens B.Simon erstellt.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben im Bildschirm die Option Neuer Benutzer aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Name die Zeichenfolge B.Simon ein.
    2. Geben Sie im Feld Benutzername Folgendes ein: [Name]@[Unternehmensdomäne].[Erweiterung]. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt gewähren Sie B.Simon Zugriff auf Jamf Pro.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Jamf Pro.
  3. Navigieren Sie auf der Übersichtsseite der App zum Abschnitt Verwalten, und wählen Sie Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
  5. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Benutzerliste die Option B.Simon und anschließend am unteren Bildschirmrand die Schaltfläche Auswählen aus.
  6. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
  7. Wählen Sie im Dialogfeld Zuweisung hinzufügen die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens in Jamf Pro

  1. Wenn Sie die Konfiguration in Jamf Pro automatisieren möchten, installieren Sie die Browsererweiterung zur sicheren Anmeldung bei „Meine Apps“, indem Sie Erweiterung installieren auswählen.

    My Apps Secure Sign-in browser extension page

  2. Wählen Sie nach dem Hinzufügen der Browsererweiterung Jamf Pro einrichten aus. Melden Sie sich bei der Jamf Pro-Anwendung unter Verwendung der Administratoranmeldeinformationen an. Die Browsererweiterung konfiguriert die Anwendung automatisch und automatisiert die Schritte 3 bis 7.

    Setup configuration page in Jamf Pro

  3. Falls Sie Jamf Pro manuell einrichten möchten, melden Sie sich in einem neuen Webbrowserfenster bei der Jamf Pro-Unternehmenswebsite als Administrator an. Führen Sie dann die folgenden Schritte aus:

  4. Wählen Sie rechts oben auf der Seite das Einstellungssymbol aus.

    Select the settings icon in Jamf Pro

  5. Wählen Sie Single Sign-On (Einmaliges Anmelden) aus.

    Select Single Sign-On in Jamf Pro

  6. Gehen Sie auf der Seite Single Sign-On (Einmaliges Anmelden) wie folgt vor:

    The Single Sign-On page in Jamf Pro

    a. Wählen Sie Bearbeiten aus.

    b. Aktivieren Sie das Kontrollkästchen Enable Single Sign-On Authentication (SSO-Authentifizierung aktivieren).

    c. Wählen Sie im Dropdownmenü Identity Provider (Identitätsanbieter) die Option Azure aus.

    d. Kopieren Sie den Wert im Feld ENTITY ID, und fügen Sie ihn im Abschnitt Grundlegende SAML-Konfiguration in das Feld Bezeichner (Entitäts-ID) ein.

    Hinweis

    Verwenden Sie den Wert im Feld <SUBDOMAIN>, um die Anmelde-URL und die Antwort-URL im Abschnitt Grundlegende SAML-Konfiguration zu vervollständigen.

    e. Wählen Sie im Dropdownmenü Identity Provider Metadata Source (Identitätsanbieter-Metadatenquelle) die Option Metadata URL (Metadaten-URL) aus. Fügen Sie im daraufhin angezeigten Feld den Wert der App-Verbundmetadaten-URL ein, den Sie kopiert haben.

    f. (Optional) Bearbeiten Sie den Wert für den Tokenablauf, oder wählen Sie „Disable SAML token expiration“ (SAML-Tokenablauf deaktivieren) aus.

  7. Scrollen Sie auf der gleichen Seite nach unten zum Abschnitt User Mapping (Benutzerzuordnung). Führen Sie dann die folgenden Schritte aus:

    The User Mapping section of the Single Sign-On page in Jamf Pro.

    a. Wählen Sie unter Identity Provider User Mapping (Benutzerzuordnung des Identitätsanbieters) die Option NameID aus. Diese Option ist standardmäßig auf NameID festgelegt. Sie können aber auch ein benutzerdefiniertes Attribut definieren.

    b. Wählen Sie unter Jamf Pro User Mapping (Jamf Pro-Benutzerzuordnung) die Option Email (E-Mail) aus. Jamf Pro ordnet vom IdP gesendete SAML-Attribute zunächst nach Benutzern und dann nach Gruppen zu. Wenn ein Benutzer versucht, auf Jamf Pro zuzugreifen, ruft Jamf Pro vom Identitätsanbieter Informationen zu dem Benutzer ab und gleicht sie mit allen Jamf Pro-Benutzerkonten ab. Wird das eingehende Benutzerkonto nicht gefunden, versucht Jamf Pro einen Abgleich anhand des Gruppennamens.

    c. Fügen Sie den Wert http://schemas.microsoft.com/ws/2008/06/identity/claims/groups in das Feld IDENTITY PROVIDER GROUP ATTRIBUTE NAME (ATTRIBUTNAME DER IDENTITÄTSANBIETERGRUPPE) ein.

    d. Scrollen Sie auf der gleichen Seite nach unten zum Abschnitt Security (Sicherheit), und wählen Sie Allow users to bypass the Single Sign-On authentication (Umgehung der SSO-Authentifizierung für Benutzer zulassen) aus. Dadurch werden Benutzer zur Authentifizierung nicht auf die Anmeldeseite des Identitätsanbieters umgeleitet, sondern können sich stattdessen direkt bei Jamf Pro anmelden. Wenn ein Benutzer versucht, sich über den Identitätsanbieter auf Jamf Pro zuzugreifen, erfolgen eine IdP-initiierte SSO-Authentifizierung und -Autorisierung.

    e. Wählen Sie Speichern aus.

Erstellen eines Jamf Pro-Testbenutzers

Damit sich Microsoft Entra-Benutzer bei Jamf Pro anmelden können, müssen sie in Jamf Pro bereitgestellt werden. Die Bereitstellung in Jamf Pro ist eine manuelle Aufgabe.

Gehen Sie zum Bereitstellen eines Benutzerkontos wie folgt vor:

  1. Melden Sie sich bei der Jamf Pro-Unternehmenswebsite als Administrator an.

  2. Wählen Sie oben rechts auf der Seite das Symbol für die Einstellungen aus.

    The settings icon in Jamf Pro

  3. Wählen Sie Jamf Pro User Accounts & Groups (Jamf Pro-Benutzerkonten und Gruppen) aus.

    The Jamf Pro User Accounts & Groups icon in Jamf Pro settings

  4. Wählen Sie Neu aus.

    Jamf Pro User Accounts & Groups system settings page

  5. Wählen Sie Create Standard Account (Standardkonto erstellen) aus.

    The Create Standard Account option in the Jamf Pro User Accounts & Groups page

  6. Gehen Sie im Dialogfeld New Account (Neues Konto) wie folgt vor:

    New account setup options in Jamf Pro system settings

    a. Geben Sie im Feld USERNAME (BENUTZERNAME) den vollständigen Namen des Testbenutzers (Britta Simon) ein.

    b. Wählen Sie geeignete Optionen für ACCESS LEVEL (ZUGRIFFSEBENE), PRIVILEGE SET (BERECHTIGUNGSGRUPPE) und ACCESS STATUS (ZUGRIFFSSTATUS) aus.

    c. Geben Sie im Feld FULL NAME (VOLLSTÄNDIGER NAME) den Namen Britta Simon ein.

    d. Geben Sie im Feld EMAIL ADDRESS (E-MAIL-ADRESSE) die E-Mail-Adresse des Kontos von Britta Simon ein.

    e. Geben Sie im Feld PASSWORD (KENNWORT) das Kennwort des Benutzers ein.

    f. Geben Sie im Feld VERIFY PASSWORD (KENNWORT ÜBERPRÜFEN) erneut das Kennwort des Benutzers ein.

    g. Wählen Sie Speichern aus.

Testen der SSO-Konfiguration

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

  • Klicken Sie auf Diese Anwendung testen. Dadurch werden Sie zur Anmelde-URL von Jamf Pro weitergeleitet, wo Sie den Anmeldeflow initiieren können.

  • Rufen Sie direkt die Jamf Pro-Anmelde-URL auf, und initiieren Sie den Anmeldeflow.

IDP-initiiert:

  • Klicken Sie auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der Jamf Pro-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Beim Klicken auf die Kachel „Jamf Pro“ in „Meine Apps“ geschieht Folgendes: Wenn Sie den SP-Modus konfiguriert haben, werden Sie zum Initiieren des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie den IDP-Modus konfiguriert haben, sollten Sie automatisch bei der Jamf Pro-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von Jamf Pro können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.