Tutoriel : Intégration de l’authentification unique Microsoft Entra à Jamf Pro

  • Article

Dans ce tutoriel, vous allez apprendre à intégrer Jamf Pro à Microsoft Entra ID. Quand vous intégrez Jamf Pro à Microsoft Entra ID, vous pouvez :

  • Utiliser Microsoft Entra ID pour contrôler qui a accès à Jamf Pro.
  • Connecter automatiquement vos utilisateurs à Jamf Pro avec leurs comptes Microsoft Entra.
  • gérer vos comptes à un emplacement central : le portail Azure.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Un abonnement Jamf Pro pour lequel l’authentification unique est activée.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

  • Jamf Pro prend en charge l’authentification unique initiée par le fournisseur de services et le fournisseur d’identité.

Pour configurer l’intégration de Jamf Pro à Microsoft Entra ID, vous devez ajouter Jamf Pro à partir de la galerie à votre liste d’applications SaaS gérées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, entrez Jamf Pro dans la zone de recherche.
  4. Sélectionnez Jamf Pro dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique dans Microsoft Entra ID pour Jamf Pro

Configurez et testez l’authentification unique Microsoft Entra avec Jamf Pro pour un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur Jamf Pro associé.

Dans cette section, vous allez configurer et tester l’authentification unique Microsoft Entra avec Jamf Pro.

  1. Configurez l’authentification unique dans Microsoft Entra ID pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
    1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec le compte B.Simon.
    2. Affectez l’utilisateur de test Microsoft Entra pour que B.Simon puisse utiliser l’authentification unique dans Microsoft Entra ID.
  2. Configurez l’authentification unique dans Jamf Pro pour configurer les paramètres d’authentification unique côté application.
    1. Créez un utilisateur de test Jamf Pro pour avoir, dans Jamf Pro, un équivalent de B.Simon lié à la représentation Microsoft Entra de l’utilisateur.
  3. Testez la configuration de l’authentification unique pour vérifier que la configuration fonctionne.

Configurer l’authentification unique dans Microsoft Entra ID

Dans cette section, vous allez activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à la page d’intégration d’application Identité>Applications>Applications d’entreprise>Jamf Pro, recherchez la section Gérer et sélectionnez Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.

    Edit the Basic SAML Configuration page.

  5. Dans la section Configuration SAML de base, si vous voulez configurer l’application en mode initié par le fournisseur d’identité, entrez les valeurs pour les champs suivants :

    a. Dans la zone de texte Identificateur, entrez une URL qui utilise la formule suivante : https://<subdomain>.jamfcloud.com/saml/metadata

    b. Dans la zone de texte URL de réponse, entrez une URL qui utilise la formule suivante : https://<subdomain>.jamfcloud.com/saml/SSO

  6. Sélectionnez Définir des URL supplémentaires. Si vous voulez configurer l’application en mode initié par le fournisseur de services, dans la zone de texte URL de connexion, entrez une URL qui utilise la formule suivante : https://<subdomain>.jamfcloud.com

    Notes

    Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Vous obtenez la valeur réelle de l’identificateur dans la section Single Sign-On (Authentification unique) du portail Jamf Pro. La procédure est expliquée plus loin dans le tutoriel. Vous pouvez extraire la valeur réelle du sous-domaine à partir de la valeur d’identificateur et utiliser ces informations de sous-domaine comme URL de connexion et URL de réponse. Vous pouvez également consulter les formules dans la section Configuration SAML de base.

  7. Dans la page Configurer l’authentification unique avec SAML, accédez à la section Certificat de signature SAML, cliquez sur le bouton Copier pour copier l’URL des métadonnées de fédération d’application, puis enregistrez-la sur votre ordinateur.

    The SAML Signing Certificate download link

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous créez une utilisatrice test appelée B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur, entrez [nom]@[domaine_entreprise].[extension]. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Cliquez sur Créer.

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous accordez à B. Simon l’accès à Jamf Pro.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Jamf Pro.
  3. Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
  5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste des utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
  6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
  7. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique dans Jamf Pro

  1. Pour automatiser la configuration dans Jamf Pro, installez l’extension de navigateur de connexion sécurisée à Mes applications en sélectionnant Installer l’extension.

    My Apps Secure Sign-in browser extension page

  2. Après avoir ajouté l’extension au navigateur, sélectionnez Configurer Jamf Pro. Quand l’application Jamf Pro s’ouvre, fournissez les informations d’identification de l’administrateur pour vous connecter. L’extension de navigateur configure automatiquement l’application et automatise les étapes 3 à 7.

    Setup configuration page in Jamf Pro

  3. Pour configurer manuellement Jamf Pro, ouvrez une nouvelle fenêtre de navigateur web et connectez-vous à votre site d’entreprise Jamf Pro en tant qu’administrateur. Effectuez ensuite les étapes suivantes.

  4. Sélectionnez l’icône des paramètres dans le coin supérieur droit de la page.

    Select the settings icon in Jamf Pro

  5. Sélectionnez Single Sign-On (Authentification unique).

    Select Single Sign-On in Jamf Pro

  6. Dans la page Single Sign-On, effectuez les étapes suivantes.

    The Single Sign-On page in Jamf Pro

    a. Sélectionnez Edit (Modifier).

    b. Cochez la case Enable Single Sign-On Authentication (Activer l’authentification unique).

    c. Sélectionnez l’option Azure dans le menu déroulant Fournisseur d’identité.

    d. Copiez la valeur ENTITY ID et collez-la dans le champ Identificateur (ID d’entité) dans la section Configuration SAML de base.

    Remarque

    Utilisez la valeur du champ <SUBDOMAIN> pour renseigner l’URL de connexion et l’URL de réponse dans la section Configuration SAML de base.

    e. Sélectionnez URL des métadonnées dans le menu déroulant Source des métadonnées du fournisseur d’identité. Dans le champ qui apparaît, collez la valeur de l’URL des métadonnées de fédération d’application que vous avez copiée.

    f. (Facultatif) Modifiez la valeur d’expiration du jeton ou sélectionnez « Désactiver l’expiration du jeton SAML ».

  7. Dans la même page, faites défiler jusqu’à la section User Mapping (Mappage utilisateur). Effectuez ensuite les étapes suivantes.

    The User Mapping section of the Single Sign-On page in Jamf Pro.

    a. Sélectionnez l’option NameID pour Mappage d’utilisateur de fournisseur d’identité. Par défaut, cette option est définie sur NameID, mais vous pouvez définir un attribut personnalisé.

    b. Sélectionnez E-mail pour Mappage d’utilisateur Jamf Pro. Jamf Pro mappe les attributs SAML envoyés par le fournisseur d’identité en commençant par les utilisateurs puis par les groupes. Quand un utilisateur tente d’accéder à Jamf Pro, Jamf Pro obtient les informations sur l’utilisateur auprès du fournisseur d’identité et les compare à tous les comptes d’utilisateurs Jamf Pro. Si le compte d’utilisateur entrant est introuvable, Jamf Pro tente de le faire correspondre à un nom de groupe.

    c. Collez la valeur http://schemas.microsoft.com/ws/2008/06/identity/claims/groups dans le champ IDENTITY PROVIDER GROUP ATTRIBUTE NAME (Nom d’attribut de groupe de fournisseur d’identité).

    d. Dans la même page, faites défiler l’écran jusqu’à la section Sécurité, puis sélectionnez Autoriser les utilisateurs à ignorer l’authentification unique. Les utilisateurs ne sont alors pas redirigés vers la page de connexion du fournisseur d’identité pour l’authentification et peuvent se connecter directement à Jamf Pro. Lorsqu’un utilisateur tente d’accéder à Jamf Pro via le fournisseur d’identité, l’autorisation et l’authentification SSO lancée par le fournisseur d’identité se produisent.

    e. Sélectionnez Enregistrer.

Créer un utilisateur de test Jamf Pro

Pour pouvoir se connecter à Jamf Pro, les utilisateurs Microsoft Entra doivent être provisionnés dans Jamf Pro. Dans Jamf Pro, le provisionnement est manuel.

Pour provisionner un compte d’utilisateur, effectuez les étapes suivantes :

  1. Connectez-vous à votre site d’entreprise Jamf Pro en tant qu’administrateur.

  2. Sélectionnez l’icône des paramètres dans le coin supérieur droit de la page.

    The settings icon in Jamf Pro

  3. Sélectionnez Jamf Pro User Accounts & Groups (Groupes et comptes d’utilisateurs Jamf Pro).

    The Jamf Pro User Accounts & Groups icon in Jamf Pro settings

  4. Cliquez sur Nouveau.

    Jamf Pro User Accounts & Groups system settings page

  5. Sélectionnez Create Standard Account (Créer un compte standard).

    The Create Standard Account option in the Jamf Pro User Accounts & Groups page

  6. Dans la boîte de dialogue New Account (Nouveau compte), effectuez les étapes suivantes :

    New account setup options in Jamf Pro system settings

    a. Dans le champ USERNAME, entrez Britta Simon (nom complet de l’utilisateur de test).

    b. Sélectionnez des options pour ACCESS LEVEL (Niveau d’accès), PRIVILEGE SET (Ensemble de privilèges) et ACCESS STATUS (État d’accès) en fonction des règles de votre organisation.

    c. Dans le champ FULL NAME (Nom complet), entrez Britta Simon.

    d. Dans le champ EMAIL ADDRESS (Adresse e-mail), tapez l’adresse e-mail du compte de Britta Simon.

    e. Dans le champ PASSWORD (Mot de passe), entrez le mot de passe de l’utilisateur.

    f. Dans le champ VERIFY PASSWORD (Vérifier le mot de passe), entrez à nouveau le mot de passe de l’utilisateur.

    g. Sélectionnez Enregistrer.

Tester la configuration SSO

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

Lancée par le fournisseur de services :

  • Cliquez sur Tester cette application, ce qui vous redirigera vers l’URL d’authentification à Jamf Pro Sign, d’où vous pouvez initier le flux de connexion.

  • Accédez directement à l’URL de connexion Jamf Pro pour lancer le flux de connexion.

Lancée par le fournisseur d’identité :

  • Cliquez sur Tester cette application, ce qui devrait automatiquement vous connecter à l’application Jamf Pro pour laquelle vous avez configuré l’authentification unique

Vous pouvez aussi utiliser Mes applications de Microsoft pour tester l’application dans n’importe quel mode. Si, quand vous cliquez sur la vignette Jamf Pro dans Mes applications, le mode Fournisseur de services est configuré, vous êtes redirigé vers la page de connexion de l’application pour lancer le flux de connexion ; s’il s’agit du mode Fournisseur d’identité, vous êtes automatiquement connecté à l’instance Jamf Pro pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré Jamf Pro, vous pouvez appliquer le contrôle de session qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.