Tutorial: Integrasi Microsoft Entra SSO dengan Jamf Pro

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan Jamf Pro dengan MICROSOFT Entra ID. Saat mengintegrasikan Jamf Pro dengan MICROSOFT Entra ID, Anda dapat:

  • Gunakan MICROSOFT Entra ID untuk mengontrol siapa yang memiliki akses ke Jamf Pro.
  • Secara otomatis memasukkan pengguna Anda ke Jamf Pro dengan akun Microsoft Entra mereka.
  • Kelola akun Anda dalam satu lokasi pusat - portal Microsoft Azure.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

  • Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • Langganan Jamf Pro yang diaktifkan akses menyeluruh (SSO).

Deskripsi Skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

  • Jamf Pro mendukung SSO yang diinisiasi oleh SP dan IdP.

Untuk mengonfigurasi integrasi Jamf Pro ke microsoft Entra ID, Anda perlu menambahkan Jamf Pro dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
  3. Di Tambahkan dari galeri bagian, ketik Jamf Pro di kotak pencarian.
  4. Pilih Jamf Pro dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji SSO di MICROSOFT Entra ID untuk Jamf Pro

Konfigurasikan dan uji SSO Microsoft Entra dengan Jamf Pro dengan menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Jamf Pro.

Di bagian ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO dengan Jamf Pro.

  1. Konfigurasikan SSO di MICROSOFT Entra ID sehingga pengguna Anda dapat menggunakan fitur ini.
    1. Buat pengguna uji Microsoft Entra untuk menguji Microsoft Entra SSO dengan akun B.Simon.
    2. Tetapkan pengguna uji Microsoft Entra sehingga B.Simon dapat menggunakan SSO di ID Microsoft Entra.
  2. Konfigurasikan SSO di Jamf Pro untuk mengonfigurasi pengaturan SSO di sisi aplikasi.
    1. Buat pengguna uji Jamf Pro untuk memiliki mitra B.Simon di Jamf Pro yang ditautkan ke representasi Microsoft Entra pengguna.
  3. Uji konfigurasi SSO untuk memverifikasi bahwa konfigurasi berfungsi.

Mengonfigurasi SSO di Microsoft Entra ID

Di bagian ini, Anda mengaktifkan Microsoft Entra SSO.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri ke halaman integrasi aplikasi Perusahaan Aplikasi>>Identitas>Jamf Pro, temukan bagian Kelola dan pilih Akses Menyeluruh.

  3. Pada halaman Pilih Metode Akses Menyeluruh, pilih SAML.

  4. Pada halaman Siapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Edit the Basic SAML Configuration page.

  5. Di bagian Konfigurasi SAML Dasar, jika Anda ingin mengonfigurasi aplikasi dalam mode yang diinisiasi IdP, masukkan nilai untuk bidang berikut ini:

    a. Dalam kotak teks Pengidentifikasi, masukkan URL yang menggunakan formula berikut ini: https://<subdomain>.jamfcloud.com/saml/metadata

    b. Dalam kotak teks URL Balasan, masukkan URL yang menggunakan formula berikut ini: https://<subdomain>.jamfcloud.com/saml/SSO

  6. Pilih Atur URL tambahan. Jika Anda ingin mengonfigurasi aplikasi dalam mode yang diinisiasi oleh SP, dalam kotak teks URL Masuk, masukkan URL yang menggunakan formula berikut ini: https://<subdomain>.jamfcloud.com

    Catatan

    Nilai-nilai ini tidak nyata. Perbarui nilai ini dengan pengidentifikasi, URL balasan, dan URL masuk. Anda akan mendapatkan nilai pengidentifikasi aktual dari bagian Akses Menyeluruh di portal Jamf Pro, yang dijelaskan kemudian dalam tutorial. Anda dapat mengekstrak nilai subdomain aktual dari nilai pengidentifikasi dan menggunakan informasi subdomain tersebut sebagai URL masuk dan URL balasan Anda. Anda juga bisa merujuk ke rumus yang diperlihatkan di bagian Konfigurasi SAML Dasar.

  7. Pada halaman Siapkan Akses Menyeluruh dengan SAML, Pergi ke bagian Sertifikat Penandatanganan SAML, Pilih tombol salin untuk menyalin URL Metadata Federasi Aplikasi, dan menyimpannya di komputer Anda.

    The SAML Signing Certificate download link

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna baru di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama, masukkan B.Simon.
    2. Di bidang Nama pengguna, masukkan [name]@[companydomain]. [extension]. Contohnya:B.Simon@contoso.com
    3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
    4. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda memberikan B.Simon akses ke Jamf Pro.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi >Identity>Applications>Enterprise Jamf Pro.
  3. Di halaman ringkasan aplikasi, temukan bagian Kelola lalu pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna, lalu pilih Pengguna dan grup di kotak dialog Tambahkan Penugasan.
  5. Dalam dialog Pengguna dan grup, pilih B.Simon di daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
  6. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
  7. Di kotak dialog Tambahkan Penetapan, klik tombol Tetapkan.

Mengonfigurasi SSO di Jamf Pro

  1. Untuk mengotomatiskan konfigurasi dalam Jamf Pro, pasang ekstensi browser Masuk Aman Aplikasi Saya dengan mengeklik Instal ekstensi.

    My Apps Secure Sign-in browser extension page

  2. Setelah menambahkan ekstensi ke browser, pilih Siapkan Jamf Pro. Ketika aplikasi Jamf Pro terbuka, berikan info masuk administrator untuk masuk. Ekstensi browser secara otomatis akan mengonfigurasi aplikasi dan mengotomatiskan langkah 3 sampai 7.

    Setup configuration page in Jamf Pro

  3. Untuk menyiapkan Jamf Pro secara manual, buka jendela browser web baru dan masuk ke situs perusahaan Jamf Pro Anda sebagai administrator. Lalu, Ikuti langkah-langkah berikut.

  4. Pilih ikon Pengaturan dari sudut kanan atas halaman.

    Select the settings icon in Jamf Pro

  5. Pilih Akses Menyeluruh.

    Select Single Sign-On in Jamf Pro

  6. Pada halaman Akses Menyeluruh, ikuti langkah-langkah berikut ini.

    The Single Sign-On page in Jamf Pro

    a. Pilih Edit.

    b. Pilih kotak centang Aktifkan Autentikasi Akses Menyeluruh.

    c. Pilih Azure sebagai opsi dari menu drop-down IdP.

    d. Salin nilai ID ENTITAS dan tempelkan ke bidang Pengidentifikasi (ID Entitas) di bagian Konfigurasi SAML Dasar.

    Catatan

    Gunakan nilai di <SUBDOMAIN> bidang untuk menyelesaikan URL masuk dan URL balasan di bagian Konfigurasi SAML Dasar.

    e. Pilih URL Metadata dari menu drop-down Sumber Metadata Penyedia Identitas. Di bidang yang muncul, tempelkan nilai Url Metadata Federasi Aplikasi yang telah Anda salin.

    f. (Opsional) Edit nilai kedaluwarsa token atau pilih "Nonaktifkan kedaluwarsa token SAML".

  7. Pada halaman yang sama, gulir ke bawah ke bagian Pemetaan Pengguna. Lalu, Ikuti langkah-langkah berikut.

    The User Mapping section of the Single Sign-On page in Jamf Pro.

    a. Pilih opsi NameID untuk Pemetaan Pengguna Penyedia Identitas. Secara default, opsi ini diatur ke NameID, tetapi Anda dapat menentukan atribut kustom.

    b. Pilih Email untuk Pemetaan Pengguna Jamf Pro. Jamf Pro memetakan atribut SAML yang dikirim oleh IdP terlebih dahulu oleh pengguna dan kemudian oleh grup. Ketika pengguna mencoba mengakses Jamf Pro, Jamf Pro mendapatkan informasi tentang pengguna dari Penyedia Identitas dan mencocokkannya dengan semua akun pengguna Jamf Pro. Jika akun pengguna masuk tidak ditemukan, maka Jamf Pro mencoba mencocokkannya dengan nama grup.

    c. Tempelkan nilai http://schemas.microsoft.com/ws/2008/06/identity/claims/groups di bidang IDENTITY PROVIDER GROUP ATTRIBUTE NAME.

    d. Pada halaman yang sama, gulir ke bawah ke bagian Keamanan dan pilih Perbolehkan pengguna untuk melewati autentikasi Akses Menyeluruh. Akibatnya, pengguna tidak akan diarahkan ke halaman masuk Penyedia Identitas untuk autentikasi dan dapat masuk ke Jamf Pro secara langsung. Ketika pengguna mencoba mengakses Jamf Pro melalui Penyedia Identitas, autentikasi dan otorisasi IdP-initiated SSO terjadi.

    e. Pilih Simpan.

Membuat pengguna uji Jamf Pro

Agar pengguna Microsoft Entra dapat masuk ke Jamf Pro, mereka harus diprovisikan ke Jamf Pro. Provisi di Jamf Pro adalah tugas manual.

Untuk memprovisikan akun pengguna, lakukan langkah-langkah berikut:

  1. Masuk ke situs perusahaan Jamf Pro Anda sebagai administrator.

  2. Pilih ikon Pengaturan dari sudut kanan atas halaman.

    The settings icon in Jamf Pro

  3. Pilih Akun Pengguna Jamf Pro & Grup.

    The Jamf Pro User Accounts & Groups icon in Jamf Pro settings

  4. Pilih baru.

    Jamf Pro User Accounts & Groups system settings page

  5. Pilih Buat Akun Standar.

    The Create Standard Account option in the Jamf Pro User Accounts & Groups page

  6. Pada kotak dialog Akun Baru, lakukan langkah-langkah berikut ini:

    New account setup options in Jamf Pro system settings

    a. Di bidang USERNAME, masukkan Britta Simon, nama lengkap pengguna pengujian.

    b. Pilih opsi untuk TINGKAT AKSES, KUMPULAN HAK ISTIMEWA, dan STATUS AKSES yang sesuai dengan organisasi Anda.

    c. Di bidang NAMA LENGKAP, masukkan Britta Simon.

    d. Di kolom ALAMAT EMAIL, masukkan alamat email akun Britta Simon.

    e. Di bidang PASSWORD, masukkan kata sandi pengguna.

    f. Di bidang VERIFIKASI PASSWORD, masukkan kata sandi pengguna.

    g. Pilih Simpan.

Uji konfigurasi SSO

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

Diinisiasi SP:

  • Klik Uji aplikasi ini, ini akan dialihkan ke URL Masuk Jamf Pro tempat Anda dapat memulai alur masuk.

  • Buka URL Masuk Jamf Pro secara langsung dan mulai alur log masuk dari sana.

Diinisiasi IDP:

  • Klik Uji aplikasi ini, dan Anda akan secara otomatis masuk ke Jamf Pro tempat Anda menyiapkan SSO

Anda juga dapat menggunakan Aplikasi Saya Microsoft untuk menguji aplikasi dalam mode apa pun. Saat Anda mengeklik petak Jamf Pro di Aplikasi Saya, jika dikonfigurasi dalam mode SP, Anda akan diarahkan ke halaman masuk aplikasi untuk memulai alur login dan jika dikonfigurasi dalam mode IDP, Anda seharusnya secara otomatis masuk ke Jamf Pro di mana Anda mengatur SSO. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah mengonfigurasi Jamf Pro, Anda dapat memberlakukan Kontrol Sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi di waktu yang nyata. Kontrol Sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.