Configure Jamf Pro para el inicio de sesión único con Microsoft Entra ID

En este artículo, aprenderá a integrar Jamf Pro con Microsoft Entra ID. Al integrar Jamf Pro con Microsoft Entra ID, puede hacer lo siguiente:

• Use Microsoft Entra ID para controlar quién tiene acceso a Jamf Pro.
• Inicie sesión automáticamente a los usuarios en Jamf Pro con sus cuentas de Microsoft Entra.
• Administrar sus cuentas en una ubicación central: Azure Portal.

Prerrequisitos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

• Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
• Uno de los siguientes roles:
  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Propietario de la aplicación.

• Una suscripción de Jamf Pro habilitada para el inicio de sesión único (SSO).

Descripción del escenario

En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.

• Jamf Pro admite el inicio de sesión único iniciado por SP e IDP.

Incorporación de Jamf Pro desde la galería

Para configurar la integración de Jamf Pro en Microsoft Entra ID, debe agregar Jamf Pro desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.
2. Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería , escriba Jamf Pro en el cuadro de búsqueda.
4. Seleccione Jamf Pro en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega a su arrendatario.

Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Obtén más información sobre los asistentes de Microsoft 365.

Configure y pruebe el SSO en Microsoft Entra ID para Jamf Pro

Configure y pruebe el SSO de Microsoft Entra con Jamf Pro mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es preciso establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de Jamf Pro.

En esta sección, configurará y probará el SSO de Microsoft Entra con Jamf Pro.

1. Configure el inicio de sesión único en Microsoft Entra ID para que los usuarios puedan usar esta característica.
   1. Crear un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con la cuenta de B.Simon.
   2. Asigne al usuario de prueba de Microsoft Entra para que B.Simon pueda utilizar SSO en Microsoft Entra ID.
2. Configure el inicio de sesión único en Jamf Pro para configurar el inicio de sesión único en la aplicación.
   1. Cree un usuario de prueba de Jamf Pro para tener un homólogo de B.Simon en Jamf Pro que esté vinculado a la representación del usuario en Microsoft Entra.
3. Pruebe la configuración de SSO para comprobar que la configuración funciona.

Configurar SSO en Microsoft Entra ID

En esta sección, habilitará el inicio de sesión único de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.

2. Vaya a la página de integración de aplicaciones de Entra ID>, Enterprise apps>, Jamf Pro, busque la sección Administrar y seleccione Inicio de sesión único.

3. En la página Seleccionar un solo método Sign-On , seleccione SAML.

4. En la página Configurar el inicio de sesión único con SAML, seleccione el icono con forma de lápiz para abrir el cuadro de diálogo Configuración básica de SAML y modificar la configuración.

   

5. En la sección Configuración básica de SAML , si desea configurar la aplicación en modo iniciado por IdP , escriba los valores de los campos siguientes:

   a) En el cuadro de texto Identificador , escriba una dirección URL que use la fórmula siguiente: https://<subdomain>.jamfcloud.com/saml/metadata

   b. En el cuadro de texto URL de respuesta , escriba una dirección URL que use la fórmula siguiente: https://<subdomain>.jamfcloud.com/saml/SSO

6. Seleccione Establecer direcciones URL adicionales. Si quiere configurar la aplicación en modo iniciado por SP, en el cuadro de texto URL de inicio de sesión, escriba una dirección URL que use la siguiente fórmula: https://<subdomain>.jamfcloud.com

   Nota:

   Estos valores no son reales. Actualice estos valores con el identificador real, la dirección URL de respuesta y la dirección URL de inicio de sesión. Obtendrá el valor de identificador real de la sección Inicio de sesión único en el portal de Jamf Pro, que se explica más adelante en el artículo. Puede extraer el valor real del subdominio del valor del identificador y usar esa información de subdominio como dirección URL de inicio de sesión y dirección URL de respuesta. También puede consultar las fórmulas que se muestran en la sección Configuración básica de SAML .

7. En la página Configurar el inicio de sesión único con SAML, vaya a la sección Certificado de firma de SAML, seleccione el botón de copia para copiar el valor de Dirección URL de metadatos de federación de aplicación y guárdelo en su equipo.

   

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.

Configuración del inicio de sesión único en Jamf Pro

1. Para automatizar la configuración en Jamf Pro, instale la extensión del explorador de inicio de sesión seguro de Mis aplicaciones seleccionando Instalar la extensión.

   

2. Después de agregar la extensión al explorador, seleccione Configurar Jamf Pro. Cuando se abra la aplicación Jamf Pro, proporcione las credenciales de administrador para iniciar sesión. La extensión del explorador configurará automáticamente la aplicación y automatizará los pasos del 3 al 7.

   

3. Para configurar Jamf Pro manualmente, abra una nueva ventana del explorador web e inicie sesión en el sitio de la compañía de Jamf Pro como administrador. A continuación, siga estos pasos.

4. Seleccione el icono Configuración en la esquina superior derecha de la página.

   

5. Seleccione Inicio de sesión único.

   

6. En la página Inicio de sesión único, siga estos pasos.

   

   a) Seleccione Editar.

   b. Seleccione la casilla Habilitar autenticación única de Sign-On.

   c. Seleccione Azure como opción en el menú desplegable Proveedor de identidades .

   d. Copie el valor de ENTITY ID y péguelo en el campo Identificador (id. de entidad) de la sección Configuración básica de SAML .

   Nota:

   Use el valor del <SUBDOMAIN> campo para completar la dirección URL de inicio de sesión y la dirección URL de respuesta en la sección Configuración básica de SAML .

   e. Seleccione URL de metadatos en el menú desplegable Origen de metadatos del proveedor de identidades. En el campo que aparece, pegue el dirección URL de metadatos de federación de la aplicación valor que ha copiado.

   f. (Opcional) Edite el valor de expiración del token o seleccione "Deshabilitar expiración de tokens SAML".

7. En la misma página, desplácese hacia abajo hasta la sección Asignación de usuarios . A continuación, siga estos pasos.

   

   a) Seleccione la opción NameID para Identity Provider User Mapping (Asignación de usuarios del proveedor de identidades). De forma predeterminada, esta opción se establece en NameID, pero puede definir un atributo personalizado.

   b. Seleccione Correo electrónico para mapeo de usuarios de Jamf Pro. Jamf Pro asigna los atributos SAML que envía el proveedor de identidades primero por usuarios y, después, por grupos. Cuando un usuario intenta acceder a Jamf Pro, Jamf Pro obtiene información sobre el usuario del proveedor de identidades y la compara con todas las cuentas de usuario de Jamf Pro. Si no se encuentra la cuenta de usuario entrante, Jamf Pro intenta buscar coincidencias con ella por nombre de grupo.

   c. Pegue el valor http://schemas.microsoft.com/ws/2008/06/identity/claims/groups en el campo IDENTITY PROVIDER GROUP ATTRIBUTE NAME (NOMBRE DEL ATRIBUTO DEL GRUPO DE PROVEEDORES DE IDENTIDADES ).

   d. En la misma página, desplácese hacia abajo hasta la sección Seguridad y seleccione Permitir que los usuarios omitan la autenticación de Sign-On única. Como resultado, los usuarios no se redirigirán a la página de inicio de sesión del proveedor de identidades para la autenticación y podrán iniciar sesión en Jamf Pro directamente. Cuando un usuario intenta acceder a Jamf Pro a través del proveedor de identidades, se produce la autenticación y autorización del inicio de sesión único iniciado por IdP.

   e. Haga clic en Guardar.

Creación de un usuario de prueba de Jamf Pro

Para que los usuarios de Microsoft Entra inicien sesión en Jamf Pro, deben aprovisionarse en Jamf Pro. El aprovisionamiento en Jamf Pro es una tarea manual.

Para aprovisionar una cuenta de usuario, siga estos pasos:

1. Inicie sesión en el sitio de la compañía de Jamf Pro como administrador.

2. Seleccione el icono Configuración en la esquina superior derecha de la página.

   

3. Seleccione Jamf Pro User Accounts & Groups (Cuentas de usuario y grupos de Jamf Pro).

   

4. Seleccione Nuevo.

   

5. Seleccione Crear cuenta estándar.

   

6. En el cuadro de diálogo Nueva cuenta , realice los pasos siguientes:

   

   a) En el campo NOMBRE DE USUARIO , escriba Britta Simon, el nombre completo del usuario de prueba.

   b. Seleccione las opciones de NIVEL DE ACCESO, CONJUNTO DE PRIVILEGIOS y ESTADO DE ACCESO que se encuentran de acuerdo con su organización.

   c. En el campo NOMBRE COMPLETO , escriba Britta Simon.

   d. En el campo DIRECCIÓN DE CORREO ELECTRÓNICO , escriba la dirección de correo electrónico de la cuenta de Britta Simon.

   e. En el campo CONTRASEÑA , escriba la contraseña del usuario.

   f. En el campo VERIFY PASSWORD (COMPROBAR CONTRASEÑA ), escriba de nuevo la contraseña del usuario.

   g. Haga clic en Guardar.

Prueba de la configuración de SSO

En esta sección vas a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

Iniciado por SP:

• Seleccione Probar esta aplicación; esta opción redirige a la dirección URL de inicio de sesión de Jamf Pro, donde puede iniciar el flujo de inicio de sesión.

• Vaya directamente a la dirección URL de inicio de sesión de Jamf Pro e inicie el flujo de inicio de sesión desde allí.

IDP iniciado:

• Seleccione Probar esta aplicación, y debería iniciar sesión automáticamente en la instancia de Jamf Pro para la que configuró el inicio de sesión único

También puedes usar Mis aplicaciones de Microsoft para probar la aplicación en cualquier modo. Al seleccionar el icono de Jamf Pro en Aplicaciones, si se ha configurado en modo SP, se le redirigirá a la página de inicio de sesión de la aplicación para comenzar el flujo de inicio de sesión; y si se ha configurado en modo IDP, debería iniciar sesión automáticamente en la instancia de Jamf Pro para la que configuró el inicio de sesión único. Para obtener más información acerca de Mis aplicaciones, consulta Introducción a Mis aplicaciones.

Contenido relacionado

Una vez configurado Jamf Pro, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión se extiende a partir del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.