Condividi tramite

Configurare Jamf Pro per l'accesso Single Sign-On con Microsoft Entra ID

Questo articolo illustra come integrare Jamf Pro con Microsoft Entra ID. Integrando Jamf Pro con Microsoft Entra ID, è possibile:

  • Usare Microsoft Entra ID per controllare chi può accedere a Jamf Pro.
  • Accedi automaticamente gli utenti a Jamf Pro con i loro account Microsoft Entra.
  • Gestire gli account in una posizione centrale: il portale di Azure.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

  • Sottoscrizione di Jamf Pro abilitata per il Single Sign-On (SSO).

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

  • Jamf Pro supporta l'SSO avviato da SP e da IdP.

Per configurare l'integrazione di Jamf Pro in Microsoft Entra ID, è necessario aggiungere Jamf Pro dalla raccolta al proprio elenco di app SaaS gestite.

  1. Effettuare l'accesso all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud .
  2. Passare a Entra ID>Applicazioni aziendali>Nuova applicazione.
  3. Nella sezione Aggiungi dalla raccolta immettere Jamf Pro nella casella di ricerca.
  4. Selezionare Jamf Pro nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al noleggiante.

In alternativa, è anche possibile usare la Procedura guidata di configurazione dell'app aziendale. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare SSO in Microsoft Entra ID per Jamf Pro

Configurare e testare l'accesso SSO di Microsoft Entra con Jamf Pro usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Jamf Pro.

In questa sezione viene configurato e testato l'accesso SSO di Microsoft Entra con Jamf Pro.

  1. Configurare l'accesso Single Sign-On in Microsoft Entra ID in modo che gli utenti possano usare questa funzionalità.
    1. Creare un utente di test di Microsoft Entra per testare l'accesso SSO di Microsoft Entra con l'account B.Simon.
    2. Assegna l'utente di test di Microsoft Entra in modo che B.Simon possa usare il Single Sign-On (SSO) in Microsoft Entra ID.
  2. Configurare SSO in Jamf Pro per configurare le impostazioni SSO nel lato dell'applicazione.
    1. Creare un utente di test di Jamf Pro per avere una controparte di B.Simon in Jamf Pro collegata alla rappresentazione dell'utente in Microsoft Entra.
  3. Testare la configurazione dell'accesso Single Sign-On per verificare che la configurazione funzioni.

Configurare il Single Sign-On in Microsoft Entra ID

In questa sezione viene abilitato l'accesso SSO di Microsoft Entra.

  1. Effettuare l'accesso all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud .

  2. Passare alla pagina di integrazione dell'applicazione Entra ID>Enterprise apps>Jamf Pro, individuare la sezione Gestione e selezionare Single Sign-On.

  3. Nella pagina Seleziona un singolo metodo Sign-On selezionare SAML.

  4. Nella pagina Configura single Sign-On con SAML selezionare l'icona a forma di matita per Configurazione SAML di base per modificare le impostazioni.

    Modificare la pagina Configurazione SAML di base.

  5. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti se si vuole configurare l'applicazione in modalità avviata da IdP :

    un. Nella casella di testo Identificatore immettere un URL che usa la formula seguente: https://<subdomain>.jamfcloud.com/saml/metadata

    b. Nella casella di testo URL di risposta immettere un URL che usa la formula seguente: https://<subdomain>.jamfcloud.com/saml/SSO

  6. Selezionare Imposta URL aggiuntivi. Se si vuole configurare l'applicazione in modalità avviata da SP , nella casella di testo URL di accesso immettere un URL che usa la formula seguente: https://<subdomain>.jamfcloud.com

    Nota

    Questi valori non sono reali. Aggiornare questi valori con l'identificatore effettivo, l'URL di risposta e l'URL di accesso. Si otterrà il valore effettivo dell'identificatore dalla sezione Single Sign-On nel portale di Jamf Pro, illustrata più avanti nell'articolo. È possibile estrarre il valore effettivo del sottodominio dal valore dell'identificatore e usare tali informazioni sul sottodominio come URL di accesso e URL di risposta. È anche possibile fare riferimento alle formule visualizzate nella sezione Configurazione SAML di base .

  7. Nella pagina Configura Single Sign-On con SAML passare alla sezione Certificato di firma SAML, selezionare il pulsante Copia per copiare l'URL dei metadati di federazione dell'app e salvarlo nel computer.

    Collegamento al download del certificato di firma SAML

Creare e assegnare un utente di test di Microsoft Entra

Seguire le linee guida nella guida introduttiva creare e assegnare un account utente per creare un account utente di test di nome B.Simon.

Configurare il Single Sign-On in Jamf Pro

  1. Per automatizzare la configurazione all'interno di Jamf Pro, installare l'estensione del browser per l'accesso sicuro ad App personali selezionando Installa l'estensione.

    Pagina dell'estensione del browser di accesso sicuro alle mie app

  2. Dopo aver aggiunto l'estensione al browser, selezionare Configura Jamf Pro. Quando si apre l'applicazione Jamf Pro, specificare le credenziali di amministratore per l'accesso. L'estensione del browser configurerà automaticamente l'applicazione e automatizza i passaggi da 3 a 7.

    Pagina di configurazione dell'installazione in Jamf Pro

  3. Per configurare Manualmente Jamf Pro, aprire una nuova finestra del Web browser e accedere al sito aziendale di Jamf Pro come amministratore. Seguire quindi questa procedura.

  4. Selezionare l'icona Impostazioni nell'angolo superiore destro della pagina.

    Selezionare l'icona delle impostazioni in Jamf Pro

  5. Selezionare Single Sign-On.

    Selezionare Single Sign-On in Jamf Pro

  6. Sulla pagina Single Sign-On, seguire i seguenti passaggi.

    La Pagina Singola Sign-On in Jamf Pro

    un. Selezionare Modifica.

    b. Selezionare la casella di controllo Abilita autenticazione Sign-On singola.

    c. Selezionare Azure come opzione dal menu a discesa Provider di Identità.

    d. Copiare il valore entity ID (ID ENTITÀ ) e incollarlo nel campo Identificatore (ID entità) nella sezione Configurazione SAML di base .

    Nota

    Usare il valore nel <SUBDOMAIN> campo per completare l'URL di accesso e l'URL di risposta nella sezione Configurazione SAML di base .

    e. Selezionare Metadata URL dal menu a discesa Identity Provider Metadata Source. Nel campo che appare, incolla il valore dell'URL dei metadati di federazione dell'app che hai copiato.

    f. (Facoltativo) Modificare il valore di scadenza del token o selezionare "Disabilita scadenza token SAML".

  7. Nella stessa pagina, scorrere verso il basso fino alla sezione Mappatura utenti. Seguire quindi questa procedura.

    Sezione Mapping utenti della pagina Single Sign-On in Jamf Pro.

    un. Selezionare l'opzione NameID per Identity Provider User Mapping (Mapping utente provider di identità). Per impostazione predefinita, questa opzione è impostata su NameID, ma è possibile definire un attributo personalizzato.

    b. Selezionare Email per Jamf Pro User Mapping (Mapping utenti Jamf Pro). Jamf Pro esegue il mapping degli attributi SAML inviati prima dall'IdP dagli utenti e quindi dai gruppi. Quando un utente tenta di accedere a Jamf Pro, Jamf Pro ottiene informazioni sull'utente dal provider di identità e le corrisponde a tutti gli account utente jamf Pro. Se l'account utente in ingresso non viene trovato, Jamf Pro tenta di trovarlo in base al nome del gruppo.

    c. Incollare il valore http://schemas.microsoft.com/ws/2008/06/identity/claims/groups nel campo IDENTITY PROVIDER GROUP ATTRIBUTE NAME .

    d. Nella stessa pagina scorrere verso il basso fino alla sezione Sicurezza e selezionare Consenti agli utenti di ignorare l'autenticazione single Sign-On. Di conseguenza, gli utenti non verranno reindirizzati alla pagina di accesso del provider di identità per l'autenticazione e potranno accedere direttamente a Jamf Pro. Quando un utente tenta di accedere a Jamf Pro tramite l'Identity Provider, avviene l'autenticazione SSO avviata dall'IdP e l'autorizzazione.

    e. Selezionare Salva.

Creare un utente di test di Jamf Pro

Per consentire agli utenti di Microsoft Entra di accedere a Jamf Pro, è necessario registrarli in Jamf Pro. La provvista in Jamf Pro è un'attività manuale.

Per effettuare il provisioning di un account utente, seguire questa procedura:

  1. Accedere al sito aziendale di Jamf Pro come amministratore.

  2. Selezionare l'icona Impostazioni nell'angolo superiore destro della pagina.

    Icona delle impostazioni in Jamf Pro

  3. Selezionare Jamf Pro User Accounts & Groups (Account utente e gruppi di Jamf Pro).

    Icona account utente e gruppi in Jamf Pro nelle impostazioni di Jamf Pro

  4. Selezionare Nuovo.

    Pagina delle impostazioni di sistema di Jamf Pro User Accounts & Groups

  5. Selezionare Crea account standard.

    l'opzione Crea account standard nella pagina Account utente & Gruppi di Jamf Pro

  6. Nella finestra di dialogo Nuovo account seguire questa procedura:

    Nuove opzioni di configurazione dell'account nelle impostazioni di sistema di Jamf Pro

    un. Nel campo USERNAME (NOME UTENTE ) immettere Britta Simon, il nome completo dell'utente di test.

    b. Selezionare le opzioni per ACCESS LEVEL, PRIVILEGE SET e ACCESS STATUS conformi all'organizzazione.

    c. Nel campo FULL NAME (NOME COMPLETO ) immettere Britta Simon.

    d. Nel campo INDIRIZZO DI POSTA ELETTRONICA immettere l'indirizzo di posta elettronica dell'account di Britta Simon.

    e. Nel campo PASSWORD immettere la password dell'utente.

    f. Nel campo VERIFY PASSWORD (VERIFICA PASSWORD ) immettere nuovamente la password dell'utente.

    g. Selezionare Salva.

Testare la configurazione dell'autenticazione Single Sign-On

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

Avviato da SP:

  • Selezionare Test this application (Testa questa applicazione), questa opzione reindirizza all'URL di accesso di Jamf Pro in cui è possibile avviare il flusso di accesso.

  • Passare direttamente all'URL di accesso di Jamf Pro e avviare il flusso di accesso da questa posizione.

IDP avviato:

  • Selezionare Test this application (Testa questa applicazione) e si dovrebbe accedere automaticamente all'applicazione Jamf Pro per cui si è configurato l'accesso SSO

È anche possibile usare Microsoft My Apps per testare l'applicazione in qualsiasi modalità. Quando si seleziona il riquadro di Jamf Pro in App personali, se è stato configurato in modalità SP, si dovrebbe essere reindirizzati alla pagina di accesso dell'applicazione per avviare il flusso di accesso e, se configurato in modalità IDP, si dovrebbe accedere automaticamente all'istanza di Jamf Pro per cui si è configurato l'accesso SSO. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.

Contenuto correlato

Dopo aver configurato Jamf Pro, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.

  • Last updated on