Zelfstudie: Integratie van eenmalige aanmelding van Microsoft Entra met Jamf Pro

  • Artikel

In deze zelfstudie leert u hoe u Jamf Pro integreert met Microsoft Entra ID. Wanneer u Jamf Pro integreert met Microsoft Entra ID, kunt u het volgende doen:

  • Gebruik Microsoft Entra ID om te bepalen wie toegang heeft tot Jamf Pro.
  • Meld u automatisch aan bij Jamf Pro met hun Microsoft Entra-account.
  • Uw accounts op één centrale locatie beheren: de Azure-portal.

Vereisten

U hebt het volgende nodig om aan de slag te gaan:

  • Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
  • Een Jamf Pro-abonnement waarvoor eenmalige aanmelding (SSO) is ingeschakeld.

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

  • Jamf Pro ondersteunt door SP geïnitieerde en door IdP geïnitieerde eenmalige aanmelding.

Als u de integratie van Jamf Pro in Microsoft Entra ID wilt configureren, moet u Jamf Pro vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
  3. Ga in het gedeelte Toevoegen uit de galerie naar het zoekvak en voer Jamf Pro in.
  4. Selecteer Jamf Pro in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden tot de app aan de tenant is toegevoegd.

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding configureren en testen in Microsoft Entra ID voor Jamf Pro

Configureer en test eenmalige aanmelding van Microsoft Entra met Jamf Pro met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Jamf Pro.

In deze sectie configureert en test u eenmalige aanmelding van Microsoft Entra met Jamf Pro.

  1. Configureer eenmalige aanmelding in Microsoft Entra-id zodat uw gebruikers deze functie kunnen gebruiken.
    1. Maak een Microsoft Entra-testgebruiker om eenmalige aanmelding van Microsoft Entra te testen met het B.Simon-account.
    2. Wijs de Microsoft Entra-testgebruiker toe zodat B.Simon eenmalige aanmelding kan gebruiken in Microsoft Entra ID.
  2. Configureer eenmalige aanmelding in Jamf Pro om de instellingen voor eenmalige aanmelding aan de kant van de toepassing te configureren.
    1. Maak een Jamf Pro-testgebruiker om een tegenhanger van B.Simon in Jamf Pro te hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Test de configuratie voor eenmalige aanmelding om te controleren of de configuratie werkt.

Eenmalige aanmelding configureren in Microsoft Entra-id

In deze sectie schakelt u eenmalige aanmelding van Microsoft Entra in.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Blader naar de integratiepagina van Jamf Pro-toepassingen> van Identity>Applications>Enterprise, zoek de sectie Beheren en selecteer Eenmalige aanmelding.

  3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  4. Selecteer op de pagina Eenmalige aanmelding instellen met SAML op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

    Edit the Basic SAML Configuration page.

  5. Voer in de sectie Standaard SAML-configuratie de waarden voor de volgende velden in, als u de toepassing in de met IdP geïnitieerde modus wilt configureren:

    a. Voer in het tekstvak Id een URL in met de volgende formule: https://<subdomain>.jamfcloud.com/saml/metadata

    b. Voer in het tekstvak Antwoord-URL een URL in met de volgende formule: https://<subdomain>.jamfcloud.com/saml/SSO

  6. Selecteer Extra URL's instellen. Als u de toepassing in de door SP geïnitieerde modus wilt configureren, voert u in het tekstvak Aanmeldings-URL een URL in met de volgende formule: https://<subdomain>.jamfcloud.com

    Notitie

    Dit zijn geen echte waarden. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. U vindt de werkelijke id-waarde in de sectie Eenmalige aanmelding in de Jamf Pro-portal, op de manier die verderop in de zelfstudie wordt uitgelegd. U kunt de werkelijke subdomeinwaarde uit de id-waarde extraheren en deze subdomeingegevens gebruiken als de aanmeldings-URL en antwoord-URL. U kunt ook verwijzen naar de formules die worden weergegeven in de sectie Standaard SAML-configuratie .

  7. Ga op de pagina Eenmalige aanmelding instellen met SAML naar de sectie SAML-handtekeningcertificaat, selecteer de knop Kopiëren om de URL voor federatieve metagegevens van de app te kopiëren, en sla deze URL op de computer op.

    The SAML Signing Certificate download link

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Identiteitsgebruikers>>Alle gebruikers.
  3. Selecteer Nieuwe gebruiker boven aan het scherm.
  4. Voer in de gebruikerseigenschappen de volgende stappen uit:
    1. Voer in het veld NaamB.Simon in.
    2. Voer in het veld Gebruikersnaam [naam]@[bedrijfsdomein].[extensie] in. Bijvoorbeeld: B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
    4. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie verleent u B. Simon toegang tot Jamf Pro.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Identity>Applications Enterprise-toepassingen>>Jamf Pro.
  3. Zoek op de overzichtspagina van de app de sectie Beheren en selecteer Gebruikers en groepen.
  4. Selecteer Gebruiker toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
  5. Selecteer in het dialoogvenster Gebruikers en groepen de naam B.Simon in de lijst Gebruikers en gebruik de knop Selecteren onderaan het scherm.
  6. Als u verwacht dat er een rol aan de gebruikers moet worden toegewezen, kunt u de rol selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
  7. Selecteer in het dialoogvenster Toewijzing toevoegen de knop Toewijzen.

Eenmalige aanmelding configureren in Jamf Pro

  1. Als u de configuratie in Jamf Pro wilt automatiseren, installeert u de My Apps-browserextensie voor veilig aanmelden door De extensie installeren te selecteren.

    My Apps Secure Sign-in browser extension page

  2. Nadat u de extensie aan de browser hebt toegevoegd, selecteert u Jamf Pro instellen. Wanneer de Jamf Pro-toepassing wordt geopend, geeft u de beheerdersreferenties op om u aan te melden. In de browserextensie wordt de toepassing automatisch geconfigureerd en worden stappen 3 tot 7 geautomatiseerd.

    Setup configuration page in Jamf Pro

  3. Als u Jamf Pro handmatig wilt instellen, opent u een nieuw webbrowservenster en meldt u zich bij uw Jamf Pro-bedrijfssite aan als beheerder. Voer dan de volgende stappen uit.

  4. Selecteer het pictogram Instellen in de rechterbovenhoek van de pagina.

    Select the settings icon in Jamf Pro

  5. Selecteer Eenmalige aanmelding.

    Select Single Sign-On in Jamf Pro

  6. Voer de volgende stappen uit op de pagina Eenmalige aanmelding.

    The Single Sign-On page in Jamf Pro

    a. Selecteer Bewerken.

    b. Schakel het selectievakje Verificatie voor eenmalige aanmelding inschakelen in.

    c. Selecteer Azure als optie in het vervolgkeuzemenu Id-provider.

    d. Kopieer de waarde van de ENTITEITs-id en plak deze in het veld Id (Entiteits-id) in de sectie Standaard SAML-configuratie.

    Notitie

    Gebruik de waarde in het <SUBDOMAIN> veld om de aanmeldings-URL en antwoord-URL in de sectie Standaard SAML-configuratie te voltooien.

    e. Selecteer Metagegevens-URL in het vervolgkeuzemenu Metagegevensbron van id-provider. Plak in het veld dat wordt weergegeven de url-waarde voor federatieve metagegevens van de app die u hebt gekopieerd.

    f. (Optioneel) Bewerk de vervalwaarde van het token of selecteer 'Vervaldatum van SAML-token uitschakelen'.

  7. Scrol op dezelfde pagina omlaag naar de sectie Gebruikerstoewijzing. Voer dan de volgende stappen uit.

    The User Mapping section of the Single Sign-On page in Jamf Pro.

    a. Selecteer de NameID-optie voor Gebruikerstoewijzing van id-provider. Deze optie is standaard ingesteld op NameID, maar u kunt een aangepast attribuut definiëren.

    b. Selecteer E-mail voor Gebruikerstoewijzing van Jamf Pro. Jamf Pro wijst SAML-kenmerken die door de IdP worden verzonden eerst toe aan gebruikers en vervolgens aan groepen. Wanneer een gebruiker probeert toegang te krijgen tot Jamf Pro, krijgt Jamf Pro informatie over de gebruiker van de id-provider en vergelijkt deze met alle Jamf Pro-gebruikersaccounts. Als het betreffende gebruikersaccount niet wordt gevonden, probeert Jamf Pro het te matchen met een groepsnaam.

    c. Plak de waarde http://schemas.microsoft.com/ws/2008/06/identity/claims/groups in het veld GROEPSKENMERKNAAM VAN ID-PROVIDER.

    d. Scrol op dezelfde pagina omlaag naar de sectie Beveiliging en selecteer Toestaan dat gebruikers de verificatie voor eenmalige aanmelding overslaan. Hierdoor worden gebruikers niet voor verificatie omgeleid naar de aanmeldingspagina van de id-provider en kunnen ze zich rechtstreeks aanmelden bij Jamf Pro. Wanneer een gebruiker toegang probeert te krijgen tot Jamf Pro via de id-provider, vindt IdP-geïnitieerde SSO-verificatie en -autorisatie plaats.

    e. Selecteer Opslaan.

Een testgebruiker voor Jamf Pro maken

Als u wilt dat Microsoft Entra-gebruikers zich kunnen aanmelden bij Jamf Pro, moeten ze worden ingericht voor Jamf Pro. Inrichten in Jamf Pro is een handmatige taak.

Voer de volgende stappen uit om een gebruikersaccount in te richten:

  1. Meld u aan als beheerder bij uw Jamf Pro-bedrijfspagina.

  2. Selecteer het pictogram Instellingen in de rechterbovenhoek van de pagina.

    The settings icon in Jamf Pro

  3. Selecteer Jamf Pro-gebruikersaccounts en -groepen.

    The Jamf Pro User Accounts & Groups icon in Jamf Pro settings

  4. Selecteer Nieuw.

    Jamf Pro User Accounts & Groups system settings page

  5. Selecteer Standaard account maken.

    The Create Standard Account option in the Jamf Pro User Accounts & Groups page

  6. Voer in het dialoogvenster Nieuw account de volgende stappen uit:

    New account setup options in Jamf Pro system settings

    a. Voer in het veld GEBRUIKERSNAAMBritta Simon in. Dit is de volledige naam van de testgebruiker.

    b. Selecteer de opties voor toegangsniveau, bevoegdheden en toegangsstatus die passen bij uw organisatie.

    c. Voer in het veld VOLLEDIGE NAAMBritta Simon in.

    d. Voer in het veld E-MAILADRES het e-mailadres van het account van Britta Simon in.

    e. Voer in het veld WACHTWOORD het wachtwoord van de gebruiker in.

    f. Voer in het veld WACHTWOORD VERIFIËREN het wachtwoord van de gebruiker opnieuw in.

    g. Selecteer Opslaan.

De configuratie van eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

Met SP geïnitieerd:

  • Klik op Deze toepassing testen. U wordt omgeleid naar de aanmeldings-URL van Jamf Pro, waar u de aanmeldingsstroom kunt initiëren.

  • Ga rechtstreeks naar de aanmeldings-URL van Jamf Pro en initieer hier de aanmeldingsstroom.

Met IDP geïnitieerd:

  • Klik op Deze toepassing testen en u wordt automatisch aangemeld bij de jamf Pro waarvoor u eenmalige aanmelding hebt ingesteld

U kunt ook Mijn apps van Microsoft gebruiken om de toepassing in een willekeurige modus te testen. Wanneer u in Mijn apps op de tegel Jamf Pro klikt, en deze is geconfigureerd in de SP-modus, wordt u omgeleid naar de aanmeldingspagina van de toepassing voor het initiëren van de aanmeldingsstroom. Als deze is geconfigureerd in de IDP-modus, wordt u automatisch aangemeld bij het Jamf Pro-exemplaar waarvoor u eenmalige aanmelding hebt ingesteld. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Volgende stappen

Zodra u Jamf Pro hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.