Oktatóanyag: A Microsoft Entra SSO integrációja a Jamf Pro-val
Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja a Jamf Pro-t a Microsoft Entra ID-val. Ha integrálja a Jamf Pro-t a Microsoft Entra ID-val, az alábbiakat teheti:
- A Microsoft Entra ID használatával szabályozhatja, hogy ki férhet hozzá a Jamf Pro-hoz.
- A felhasználók automatikusan bejelentkeznek a Jamf Pro-ba a Microsoft Entra-fiókjukkal.
- A fiókok kezelése egy központi helyen: az Azure Portalon.
Előfeltételek
Első lépésként a következő elemekre van szüksége:
- Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
- Az egyszeri bejelentkezést (SSO) engedélyező Jamf Pro-előfizetés.
Forgatókönyv leírása
Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.
- A Jamf Pro támogatja az SP által kezdeményezett és az IdP által kezdeményezett egyszeri bejelentkezést .
Jamf Pro hozzáadása a katalógusból
A Jamf Pro Microsoft Entra-azonosítóba való integrálásának konfigurálásához fel kell vennie a Jamf Pro-t a katalógusból a felügyelt SaaS-alkalmazások listájára.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
- A Gyűjtemény hozzáadása szakaszban írja be a Jamf Pro kifejezést a keresőmezőbe.
- Válassza a Jamf Pro lehetőséget az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.
Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.
Egyszeri bejelentkezés konfigurálása és tesztelése a Jamf Pro-hoz készült Microsoft Entra-azonosítóban
A Microsoft Entra SSO konfigurálása és tesztelése a Jamf Pro-val egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között a Jamf Pro-ban.
Ebben a szakaszban a Microsoft Entra SSO-t konfigurálja és teszteli a Jamf Pro használatával.
- Konfigurálja az egyszeri bejelentkezést a Microsoft Entra-azonosítóban , hogy a felhasználók használhassák ezt a funkciót.
- Hozzon létre egy Microsoft Entra tesztfelhasználót a Microsoft Entra SSO B.Simon-fiókkal való teszteléséhez.
- Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon használhassa az egyszeri bejelentkezést a Microsoft Entra-azonosítóban.
- Konfigurálja az egyszeri bejelentkezést a Jamf Pro-ban az SSO-beállítások alkalmazásoldali konfigurálásához.
- Hozzon létre egy Jamf Pro-tesztfelhasználót , hogy b.Simon megfelelője legyen a Jamf Pro-ban, amely a felhasználó Microsoft Entra-reprezentációjához van csatolva.
- Tesztelje az egyszeri bejelentkezés konfigurációját a konfiguráció működésének ellenőrzéséhez.
Egyszeri bejelentkezés konfigurálása a Microsoft Entra-azonosítóban
Ebben a szakaszban engedélyezi a Microsoft Entra SSO-t.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazások>Jamf Pro alkalmazásintegrációs oldalát, keresse meg a Kezelés szakaszt, és válassza az Egyszeri bejelentkezés lehetőséget.
A Select a Single Sign-On Method (Egyszeri bejelentkezési módszer kiválasztása) lapon válassza az SAML lehetőséget.
Az egyszeri bejelentkezés beállítása SAML-lel lapon válassza az egyszerű SAML-konfiguráció ceruzaikonját a beállítások szerkesztéséhez.
Ha idP-módban szeretné konfigurálni az alkalmazást, írja be az alábbi mezők értékeit az EGYSZERŰ SAML-konfiguráció szakaszba:
a. Az Azonosító szövegmezőbe írjon be egy URL-címet, amely a következő képletet használja:
https://<subdomain>.jamfcloud.com/saml/metadata
b. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet, amely a következő képletet használja:
https://<subdomain>.jamfcloud.com/saml/SSO
Válassza a További URL-címek beállítása lehetőséget. Ha sp-vezérelt módban szeretné konfigurálni az alkalmazást, a Bejelentkezési URL-cím szövegmezőbe írjon be egy URL-címet, amely a következő képletet használja:
https://<subdomain>.jamfcloud.com
Megjegyzés:
Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval, válasz URL-címmel és bejelentkezési URL-címmel. A tényleges azonosító értékét a Jamf Pro portál egyszeri bejelentkezés szakaszából fogja megkapni, amelyet az oktatóanyag későbbi részében ismertetünk. Kinyerheti a tényleges altartományértéket az azonosító értékből, és ezt az altartomány-információt használhatja bejelentkezési URL-címként és válasz URL-címként. Az Egyszerű SAML-konfiguráció szakaszban látható képletekre is hivatkozhat.
Az egyszeri bejelentkezés beállítása SAML-sel lapon lépjen az SAML aláíró tanúsítvány szakaszra, válassza a másolás gombot az alkalmazás összevonási metaadatainak URL-címének másolásához, majd mentse a számítógépre.
Microsoft Entra-tesztfelhasználó létrehozása
Ebben a szakaszban egy B.Simon nevű tesztfelhasználót hoz létre.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
- Válassza az Új felhasználó lehetőséget a képernyő tetején.
- A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
- A Név mezőbe írja a következőt:
B.Simon
. - A Felhasználónév mezőbe írja be a következőt: [name]@[companydomain].[ bővítményt]. For example,
B.Simon@contoso.com
. - Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
- Select Create.
- A Név mezőbe írja a következőt:
A Microsoft Entra tesztfelhasználó hozzárendelése
Ebben a szakaszban hozzáférést ad B.Simonnak a Jamf Pro-hoz.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat, a Jamf Pro-t.>
- Az alkalmazás áttekintő lapján keresse meg a Kezelés szakaszt, és válassza a Felhasználók és csoportok lehetőséget.
- Válassza a Felhasználó hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
- A Felhasználók és csoportok párbeszédpanelen válassza a Felhasználók lista B.Simon elemét, majd a képernyő alján található Kiválasztás gombot.
- Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
- A Hozzárendelés hozzáadása párbeszédpanelen válassza a Hozzárendelés gombot.
Egyszeri bejelentkezés konfigurálása a Jamf Pro-ban
A Jamf Pro konfigurációjának automatizálásához telepítse a Saját alkalmazások Biztonságos bejelentkezési böngészőbővítményta bővítmény telepítésével.
Miután hozzáadta a bővítményt a böngészőhöz, válassza a Jamf Pro beállítása lehetőséget. Amikor megnyílik a Jamf Pro-alkalmazás, adja meg a rendszergazdai hitelesítő adatokat a bejelentkezéshez. A böngészőbővítmény automatikusan konfigurálja az alkalmazást, és automatizálja a 3–7. lépést.
A Jamf Pro manuális beállításához nyisson meg egy új böngészőablakot, és jelentkezzen be a Jamf Pro vállalati webhelyére rendszergazdaként. Ezután hajtsa végre a következő lépéseket.
Válassza a Gépház ikont a lap jobb felső sarkában.
Válassza az egyszeri bejelentkezés lehetőséget.
Az egyszeri bejelentkezés lapon hajtsa végre az alábbi lépéseket.
a. Válassza a Szerkesztés lehetőséget.
b. Jelölje be az Egyszeri bejelentkezés hitelesítésének engedélyezése jelölőnégyzetet.
c. Válassza az Azure-t az Identitásszolgáltató legördülő menüben.
d. Másolja ki az ENTITY ID értéket, és illessze be az Azonosító (Entity ID) mezőbe az Alapszintű SAML-konfiguráció szakaszban.
Megjegyzés:
A mező értékével
<SUBDOMAIN>
töltse ki a bejelentkezési URL-címet és a válasz URL-címét az Alapszintű SAML-konfiguráció szakaszban.e. Válassza ki a Metaadatok URL-címét az Identitásszolgáltató metaadatforrás legördülő menüjéből. A megjelenő mezőben illessze be a másolt Alkalmazás összevonási metaadatok URL-címét .
f. (Nem kötelező) Szerkessze a jogkivonat lejárati értékét, vagy válassza az "SAML-jogkivonat lejáratának letiltása" lehetőséget.
Ugyanazon a lapon görgessen le a Felhasználói megfeleltetés szakaszhoz. Ezután hajtsa végre a következő lépéseket.
a. Válassza ki az Identitásszolgáltató felhasználóleképezés névazonosítóbeállítását. Ez a beállítás alapértelmezés szerint NévAZONOSÍTÓ értékre van állítva, de egyéni attribútumot is megadhat.
b. Válassza az E-mail lehetőséget a Jamf Pro felhasználói leképezéséhez. A Jamf Pro először a felhasználók, majd csoportok által az idp által küldött SAML-attribútumokat képezi le. Amikor egy felhasználó megpróbál hozzáférni a Jamf Pro-hoz, a Jamf Pro információkat kap a felhasználóról az identitásszolgáltatótól, és megfelel az összes Jamf Pro-felhasználói fióknak. Ha a bejövő felhasználói fiók nem található, a Jamf Pro megkísérli a csoportnév szerinti egyeztetést.
c. Illessze be az értéket
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
az IDENTITY PROVIDER GROUP ATTRIBÚTUMNÉV mezőjébe.d. Ugyanazon a lapon görgessen le a Biztonság szakaszhoz, és válassza az Egyszeri bejelentkezéses hitelesítés megkerülése a felhasználók számára lehetőséget. Ennek eredményeképpen a rendszer nem irányítja át a felhasználókat az identitásszolgáltató bejelentkezési oldalára hitelesítés céljából, és közvetlenül is bejelentkezhetnek a Jamf Pro-ba. Amikor egy felhasználó megpróbál hozzáférni a Jamf Pro-hoz az identitásszolgáltatón keresztül, idP által kezdeményezett egyszeri bejelentkezéses hitelesítés és engedélyezés történik.
e. Válassza a Mentés parancsot.
Jamf Pro-tesztfelhasználó létrehozása
Ahhoz, hogy a Microsoft Entra-felhasználók bejelentkezhessenek a Jamf Pro-ba, ki kell őket építeniük a Jamf Pro-ba. A Jamf Pro-ban történő üzembe helyezés manuális feladat.
Felhasználói fiók kiépítéséhez hajtsa végre a következő lépéseket:
Jelentkezzen be a Jamf Pro vállalati webhelyére rendszergazdaként.
Válassza a Gépház ikont a lap jobb felső sarkában.
Válassza a Jamf Pro felhasználói fiókok > csoportokat.
Válassza az Új lehetőséget.
Válassza a Standard fiók létrehozása lehetőséget.
Az Új fiók párbeszédpanelen hajtsa végre a következő lépéseket:
a. Az U Standard kiadás RNAME mezőben adja meg
Britta Simon
a tesztfelhasználó teljes nevét.b. Válassza ki a szervezetnek megfelelő HOZZÁFÉRÉSI SZINT, PRIVILEGE Standard kiadás T és HOZZÁFÉRÉSI ÁLLAPOT beállításait.
c. A TELJES NÉV mezőbe írja be a következőt
Britta Simon
:d. Az E-MAIL CÍM mezőbe írja be Britta Simon fiókjának e-mail-címét.
e. A JELSZÓ mezőbe írja be a felhasználó jelszavát.
f. A JELSZÓ ELLENŐRZÉSE mezőbe írja be ismét a felhasználó jelszavát.
g. Válassza a Mentés parancsot.
Az egyszeri bejelentkezés konfigurációjának tesztelése
Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.
Sp kezdeményezve:
Kattintson az alkalmazás tesztelésére, ez átirányítja a Jamf Pro Sign on URL-címre, ahol elindíthatja a bejelentkezési folyamatot.
Lépjen közvetlenül a Jamf Pro bejelentkezési URL-címére, és indítsa el onnan a bejelentkezési folyamatot.
IdP kezdeményezve:
- Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie ahhoz a Jamf Pro-hoz, amelyhez beállította az egyszeri bejelentkezést
A Microsoft Saját alkalmazások használatával is tesztelheti az alkalmazást bármilyen módban. Amikor a Saját alkalmazások a Jamf Pro csempére kattint, az SP módban konfigurálva a rendszer átirányítja az alkalmazás bejelentkezési oldalára a bejelentkezési folyamat elindításához, és ha IDP módban van konfigurálva, akkor automatikusan be kell jelentkeznie ahhoz a Jamf Pro-hoz, amelyhez beállította az egyszeri bejelentkezést. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.
További lépések
A Jamf Pro konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.