Oktatóanyag: A Microsoft Entra SSO integrációja a Jamf Pro-val

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja a Jamf Pro-t a Microsoft Entra ID-val. Ha integrálja a Jamf Pro-t a Microsoft Entra ID-val, az alábbiakat teheti:

  • A Microsoft Entra ID használatával szabályozhatja, hogy ki férhet hozzá a Jamf Pro-hoz.
  • A felhasználók automatikusan bejelentkeznek a Jamf Pro-ba a Microsoft Entra-fiókjukkal.
  • A fiókok kezelése egy központi helyen: az Azure Portalon.

Előfeltételek

Első lépésként a következő elemekre van szüksége:

  • Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
  • Az egyszeri bejelentkezést (SSO) engedélyező Jamf Pro-előfizetés.

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.

  • A Jamf Pro támogatja az SP által kezdeményezett és az IdP által kezdeményezett egyszeri bejelentkezést .

A Jamf Pro Microsoft Entra-azonosítóba való integrálásának konfigurálásához fel kell vennie a Jamf Pro-t a katalógusból a felügyelt SaaS-alkalmazások listájára.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
  3. A Gyűjtemény hozzáadása szakaszban írja be a Jamf Pro kifejezést a keresőmezőbe.
  4. Válassza a Jamf Pro lehetőséget az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

Egyszeri bejelentkezés konfigurálása és tesztelése a Jamf Pro-hoz készült Microsoft Entra-azonosítóban

A Microsoft Entra SSO konfigurálása és tesztelése a Jamf Pro-val egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között a Jamf Pro-ban.

Ebben a szakaszban a Microsoft Entra SSO-t konfigurálja és teszteli a Jamf Pro használatával.

  1. Konfigurálja az egyszeri bejelentkezést a Microsoft Entra-azonosítóban , hogy a felhasználók használhassák ezt a funkciót.
    1. Hozzon létre egy Microsoft Entra tesztfelhasználót a Microsoft Entra SSO B.Simon-fiókkal való teszteléséhez.
    2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon használhassa az egyszeri bejelentkezést a Microsoft Entra-azonosítóban.
  2. Konfigurálja az egyszeri bejelentkezést a Jamf Pro-ban az SSO-beállítások alkalmazásoldali konfigurálásához.
    1. Hozzon létre egy Jamf Pro-tesztfelhasználót , hogy b.Simon megfelelője legyen a Jamf Pro-ban, amely a felhasználó Microsoft Entra-reprezentációjához van csatolva.
  3. Tesztelje az egyszeri bejelentkezés konfigurációját a konfiguráció működésének ellenőrzéséhez.

Egyszeri bejelentkezés konfigurálása a Microsoft Entra-azonosítóban

Ebben a szakaszban engedélyezi a Microsoft Entra SSO-t.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazások>Jamf Pro alkalmazásintegrációs oldalát, keresse meg a Kezelés szakaszt, és válassza az Egyszeri bejelentkezés lehetőséget.

  3. A Select a Single Sign-On Method (Egyszeri bejelentkezési módszer kiválasztása) lapon válassza az SAML lehetőséget.

  4. Az egyszeri bejelentkezés beállítása SAML-lel lapon válassza az egyszerű SAML-konfiguráció ceruzaikonját a beállítások szerkesztéséhez.

    Edit the Basic SAML Configuration page.

  5. Ha idP-módban szeretné konfigurálni az alkalmazást, írja be az alábbi mezők értékeit az EGYSZERŰ SAML-konfiguráció szakaszba:

    a. Az Azonosító szövegmezőbe írjon be egy URL-címet, amely a következő képletet használja:https://<subdomain>.jamfcloud.com/saml/metadata

    b. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet, amely a következő képletet használja:https://<subdomain>.jamfcloud.com/saml/SSO

  6. Válassza a További URL-címek beállítása lehetőséget. Ha sp-vezérelt módban szeretné konfigurálni az alkalmazást, a Bejelentkezési URL-cím szövegmezőbe írjon be egy URL-címet, amely a következő képletet használja:https://<subdomain>.jamfcloud.com

    Megjegyzés:

    Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval, válasz URL-címmel és bejelentkezési URL-címmel. A tényleges azonosító értékét a Jamf Pro portál egyszeri bejelentkezés szakaszából fogja megkapni, amelyet az oktatóanyag későbbi részében ismertetünk. Kinyerheti a tényleges altartományértéket az azonosító értékből, és ezt az altartomány-információt használhatja bejelentkezési URL-címként és válasz URL-címként. Az Egyszerű SAML-konfiguráció szakaszban látható képletekre is hivatkozhat.

  7. Az egyszeri bejelentkezés beállítása SAML-sel lapon lépjen az SAML aláíró tanúsítvány szakaszra, válassza a másolás gombot az alkalmazás összevonási metaadatainak URL-címének másolásához, majd mentse a számítógépre.

    The SAML Signing Certificate download link

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót hoz létre.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
  3. Válassza az Új felhasználó lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Név mezőbe írja a következőt: B.Simon.
    2. A Felhasználónév mezőbe írja be a következőt: [name]@[companydomain].[ bővítményt]. For example, B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Select Create.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban hozzáférést ad B.Simonnak a Jamf Pro-hoz.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat, a Jamf Pro-t.>
  3. Az alkalmazás áttekintő lapján keresse meg a Kezelés szakaszt, és válassza a Felhasználók és csoportok lehetőséget.
  4. Válassza a Felhasználó hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
  5. A Felhasználók és csoportok párbeszédpanelen válassza a Felhasználók lista B.Simon elemét, majd a képernyő alján található Kiválasztás gombot.
  6. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
  7. A Hozzárendelés hozzáadása párbeszédpanelen válassza a Hozzárendelés gombot.

Egyszeri bejelentkezés konfigurálása a Jamf Pro-ban

  1. A Jamf Pro konfigurációjának automatizálásához telepítse a Saját alkalmazások Biztonságos bejelentkezési böngészőbővítményta bővítmény telepítésével.

    My Apps Secure Sign-in browser extension page

  2. Miután hozzáadta a bővítményt a böngészőhöz, válassza a Jamf Pro beállítása lehetőséget. Amikor megnyílik a Jamf Pro-alkalmazás, adja meg a rendszergazdai hitelesítő adatokat a bejelentkezéshez. A böngészőbővítmény automatikusan konfigurálja az alkalmazást, és automatizálja a 3–7. lépést.

    Setup configuration page in Jamf Pro

  3. A Jamf Pro manuális beállításához nyisson meg egy új böngészőablakot, és jelentkezzen be a Jamf Pro vállalati webhelyére rendszergazdaként. Ezután hajtsa végre a következő lépéseket.

  4. Válassza a Gépház ikont a lap jobb felső sarkában.

    Select the settings icon in Jamf Pro

  5. Válassza az egyszeri bejelentkezés lehetőséget.

    Select Single Sign-On in Jamf Pro

  6. Az egyszeri bejelentkezés lapon hajtsa végre az alábbi lépéseket.

    The Single Sign-On page in Jamf Pro

    a. Válassza a Szerkesztés lehetőséget.

    b. Jelölje be az Egyszeri bejelentkezés hitelesítésének engedélyezése jelölőnégyzetet.

    c. Válassza az Azure-t az Identitásszolgáltató legördülő menüben.

    d. Másolja ki az ENTITY ID értéket, és illessze be az Azonosító (Entity ID) mezőbe az Alapszintű SAML-konfiguráció szakaszban.

    Megjegyzés:

    A mező értékével <SUBDOMAIN> töltse ki a bejelentkezési URL-címet és a válasz URL-címét az Alapszintű SAML-konfiguráció szakaszban.

    e. Válassza ki a Metaadatok URL-címét az Identitásszolgáltató metaadatforrás legördülő menüjéből. A megjelenő mezőben illessze be a másolt Alkalmazás összevonási metaadatok URL-címét .

    f. (Nem kötelező) Szerkessze a jogkivonat lejárati értékét, vagy válassza az "SAML-jogkivonat lejáratának letiltása" lehetőséget.

  7. Ugyanazon a lapon görgessen le a Felhasználói megfeleltetés szakaszhoz. Ezután hajtsa végre a következő lépéseket.

    The User Mapping section of the Single Sign-On page in Jamf Pro.

    a. Válassza ki az Identitásszolgáltató felhasználóleképezés névazonosítóbeállítását. Ez a beállítás alapértelmezés szerint NévAZONOSÍTÓ értékre van állítva, de egyéni attribútumot is megadhat.

    b. Válassza az E-mail lehetőséget a Jamf Pro felhasználói leképezéséhez. A Jamf Pro először a felhasználók, majd csoportok által az idp által küldött SAML-attribútumokat képezi le. Amikor egy felhasználó megpróbál hozzáférni a Jamf Pro-hoz, a Jamf Pro információkat kap a felhasználóról az identitásszolgáltatótól, és megfelel az összes Jamf Pro-felhasználói fióknak. Ha a bejövő felhasználói fiók nem található, a Jamf Pro megkísérli a csoportnév szerinti egyeztetést.

    c. Illessze be az értéket http://schemas.microsoft.com/ws/2008/06/identity/claims/groups az IDENTITY PROVIDER GROUP ATTRIBÚTUMNÉV mezőjébe.

    d. Ugyanazon a lapon görgessen le a Biztonság szakaszhoz, és válassza az Egyszeri bejelentkezéses hitelesítés megkerülése a felhasználók számára lehetőséget. Ennek eredményeképpen a rendszer nem irányítja át a felhasználókat az identitásszolgáltató bejelentkezési oldalára hitelesítés céljából, és közvetlenül is bejelentkezhetnek a Jamf Pro-ba. Amikor egy felhasználó megpróbál hozzáférni a Jamf Pro-hoz az identitásszolgáltatón keresztül, idP által kezdeményezett egyszeri bejelentkezéses hitelesítés és engedélyezés történik.

    e. Válassza a Mentés parancsot.

Jamf Pro-tesztfelhasználó létrehozása

Ahhoz, hogy a Microsoft Entra-felhasználók bejelentkezhessenek a Jamf Pro-ba, ki kell őket építeniük a Jamf Pro-ba. A Jamf Pro-ban történő üzembe helyezés manuális feladat.

Felhasználói fiók kiépítéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Jamf Pro vállalati webhelyére rendszergazdaként.

  2. Válassza a Gépház ikont a lap jobb felső sarkában.

    The settings icon in Jamf Pro

  3. Válassza a Jamf Pro felhasználói fiókok > csoportokat.

    The Jamf Pro User Accounts & Groups icon in Jamf Pro settings

  4. Válassza az Új lehetőséget.

    Jamf Pro User Accounts & Groups system settings page

  5. Válassza a Standard fiók létrehozása lehetőséget.

    The Create Standard Account option in the Jamf Pro User Accounts & Groups page

  6. Az Új fiók párbeszédpanelen hajtsa végre a következő lépéseket:

    New account setup options in Jamf Pro system settings

    a. Az U Standard kiadás RNAME mezőben adja meg Britta Simona tesztfelhasználó teljes nevét.

    b. Válassza ki a szervezetnek megfelelő HOZZÁFÉRÉSI SZINT, PRIVILEGE Standard kiadás T és HOZZÁFÉRÉSI ÁLLAPOT beállításait.

    c. A TELJES NÉV mezőbe írja be a következőtBritta Simon:

    d. Az E-MAIL CÍM mezőbe írja be Britta Simon fiókjának e-mail-címét.

    e. A JELSZÓ mezőbe írja be a felhasználó jelszavát.

    f. A JELSZÓ ELLENŐRZÉSE mezőbe írja be ismét a felhasználó jelszavát.

    g. Válassza a Mentés parancsot.

Az egyszeri bejelentkezés konfigurációjának tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

Sp kezdeményezve:

  • Kattintson az alkalmazás tesztelésére, ez átirányítja a Jamf Pro Sign on URL-címre, ahol elindíthatja a bejelentkezési folyamatot.

  • Lépjen közvetlenül a Jamf Pro bejelentkezési URL-címére, és indítsa el onnan a bejelentkezési folyamatot.

IdP kezdeményezve:

  • Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie ahhoz a Jamf Pro-hoz, amelyhez beállította az egyszeri bejelentkezést

A Microsoft Saját alkalmazások használatával is tesztelheti az alkalmazást bármilyen módban. Amikor a Saját alkalmazások a Jamf Pro csempére kattint, az SP módban konfigurálva a rendszer átirányítja az alkalmazás bejelentkezési oldalára a bejelentkezési folyamat elindításához, és ha IDP módban van konfigurálva, akkor automatikusan be kell jelentkeznie ahhoz a Jamf Pro-hoz, amelyhez beállította az egyszeri bejelentkezést. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.

További lépések

A Jamf Pro konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.