Руководство по интеграции единого входа Microsoft Entra с Jamf Pro

  • Статья

В этом руководстве вы узнаете, как интегрировать Jamf Pro с идентификатором Microsoft Entra. Интеграция Jamf Pro с идентификатором Microsoft Entra id позволяет:

  • Используйте идентификатор Microsoft Entra для управления доступом к Jamf Pro.
  • Автоматически войдите пользователей в Jamf Pro с помощью учетных записей Microsoft Entra.
  • Централизованное управление учетными записями через портал Azure.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • подписка на Jamf Pro с поддержкой единого входа.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Jamf Pro поддерживает единый вход, инициируемый поставщиком службы и поставщиком удостоверений.

Чтобы настроить интеграцию Jamf Pro с идентификатором Microsoft Entra ID, необходимо добавить Jamf Pro из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите Jamf Pro.
  4. Выберите Jamf Pro в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа в Microsoft Entra ID for Jamf Pro

Настройте и проверьте единый вход Microsoft Entra в Jamf Pro с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Jamf Pro.

В этом разделе описана настройка и проверка единого входа Microsoft Entra в Jamf Pro.

  1. Настройте единый вход в идентификатор Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с учетной записью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы B.Simon смог использовать единый вход в идентификаторе Microsoft Entra.
  2. Настройте единый вход в Jamf Pro, чтобы настроить параметры единого входа на стороне приложения.
    1. Создайте тестового пользователя Jamf Pro, чтобы в Jamf Pro был создан пользователь B.Simon, связанный с представлением Microsoft Entra пользователя.
  3. Проверьте конфигурации единого входа, чтобы убедиться, что она работает правильно.

Настройка единого входа в идентификаторе Microsoft Entra

В этом разделе описано, как включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите на >страницу интеграции приложений>Identity Applications>Enterprise Jamf Pro, найдите раздел "Управление" и выберите единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить эти параметры.

    Edit the Basic SAML Configuration page.

  5. Если вы хотите настроить приложение в режиме, инициируемом поставщиком удостоверений, в разделе Базовая конфигурация SAML введите значения для следующих полей:

    a. В текстовом поле Идентификатор введите URL-адрес по следующей формуле: https://<subdomain>.jamfcloud.com/saml/metadata

    b. В текстовом поле URL-адрес ответа введите URL-адрес по следующей формуле: https://<subdomain>.jamfcloud.com/saml/SSO

  6. Щелкните Задать дополнительные URL-адреса. Если вы хотите настроить приложение в режиме, инициируемом поставщиком служб, в текстовом поле URL-адрес для входа введите URL-адрес по следующей формуле: https://<subdomain>.jamfcloud.com

    Примечание.

    Эти значения приведены в качестве примера. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Вы получите фактическое значение идентификатора из раздела Единый вход на портале Jamf Pro, описываемое далее в этом руководстве. Вы можете извлечь фактическое значение поддомена из значения идентификатора и использовать эти сведения о поддомене как URL-адрес для входа и URL-адрес ответа. Вы также можете ссылаться на формулы, показанные в разделе "Базовая конфигурация SAML".

  7. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML нажмите кнопку Копировать, чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

    The SAML Signing Certificate download link

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите ко всем пользователям удостоверений>>.
  3. В верхней части экрана выберите Новый пользователь.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле Имя введите B.Simon.
    2. В поле Имя пользователя введите [имя]@[домен компании].[расширение]. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как предоставить пользователю B. Simon доступ к Jamf Pro.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise Jamf Pro.
  3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
  4. Выберите Добавить пользователя, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
  5. В диалоговом окне Пользователи и группы выберите Britta Simon в списке "Пользователи", а затем нажмите кнопку Выбрать в нижней части экрана.
  6. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
  7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа в Jamf Pro

  1. Для автоматизации настройки в Jamf Pro необходимо установить расширение браузера "Безопасный вход в мои приложения", выбрав Установить расширение.

    My Apps Secure Sign-in browser extension page

  2. После добавления расширения в браузер выберите Настройка Jamf Pro. Когда откроется приложение Jamf Pro, укажите учетные данные администратора для входа. Расширение браузера автоматически настроит приложение и автоматизирует шаги 3–7.

    Setup configuration page in Jamf Pro

  3. Чтобы вручную настроить Jamf Pro, откройте новое окно веб-браузера и зайдите на сайт компании Jamf Pro в роли администратора. Затем выполните следующие действия:

  4. Выберите значок Параметры в правом верхнем углу страницы.

    Select the settings icon in Jamf Pro

  5. Выберите Единый вход.

    Select Single Sign-On in Jamf Pro

  6. На странице Единый вход сделайте следующее:

    The Single Sign-On page in Jamf Pro

    a. Выберите Изменить.

    b. Установите флажок Enable Single Sign-On Authentication (Включить проверку подлинности с помощью единого входа).

    c. Выберите пункт Azure в раскрывающемся меню Identity Provider (Поставщик удостоверений).

    d. Скопируйте значение идентификатора сущности и вставьте его в поле Идентификатор (идентификатор сущности) в разделе "Базовая конфигурация SAML".

    Примечание.

    Используйте значение в <SUBDOMAIN> поле, чтобы завершить URL-адрес входа и URL-адрес ответа в разделе "Базовая конфигурация SAML".

    д) Выберите Metadata URL (URL-адрес метаданных) в раскрывающемся меню Identity provider metadata source (Источник метаданных поставщика удостоверений). В появившемся поле вставьте значение URL-адреса метаданных федерации приложений, скопированное вами.

    f. (Необязательно) Измените срок действия токена или выберите Disable SAML token expiration (Отключить истечение срока действия токена SAML).

  7. На той же странице прокрутите вниз до раздела User Mapping (Сопоставление пользователей). Затем выполните следующие действия:

    The User Mapping section of the Single Sign-On page in Jamf Pro.

    a. Выберите значение NameID (Идентификатор имени) для параметра Identity Provider User Mapping (Сопоставление пользователей поставщика удостоверений). По умолчанию для этого параметра задано значение NameID, но можно определить настраиваемый атрибут.

    b. Выберите значение Email (Электронная почта) для параметра Jamf Pro User Mapping (Сопоставление пользователей Jamf Pro). Jamf Pro сопоставляет атрибуты SAML, отправляемые поставщиком удостоверений, сначала по пользователям, а потом по группам. Когда пользователь пытается получить доступ к Jamf Pro, Jamf Pro получает сведения о пользователе от поставщика удостоверений и сопоставляет их со всеми учетными записями пользователей Jamf Pro. Если входящая учетная запись пользователя не найдена, Jamf Pro пытается сопоставить ее по имени группы.

    c. Вставьте значение http://schemas.microsoft.com/ws/2008/06/identity/claims/groups в поле IDENTITY PROVIDER GROUP ATTRIBUTE NAME (Имя атрибута группы поставщиков удостоверений).

    d. На той же странице прокрутите вниз до раздела Security (Безопасность) и выберите Allow users to bypass the Single Sign-On authentication (Разрешить пользователям обходить проверку подлинности с помощью единого входа). В результате пользователи не будут перенаправлены на страницу входа поставщика удостоверений для проверки подлинности и смогут войти в Jamf Pro напрямую. Когда пользователь пытается получить доступ к Jamf Pro через поставщик удостоверений, происходит аутентификация и авторизация с использованием единого входа, инициированного поставщиком удостоверений.

    д) Выберите Сохранить.

Создание тестового пользователя Jamf Pro

Чтобы пользователи Microsoft Entra входить в Jamf Pro, они должны быть подготовлены в Jamf Pro. Подготовка в Jamf Pro выполняется вручную.

Чтобы подготовить учетную запись пользователя, выполните следующие действия:

  1. Войдите на веб-сайт Jamf Pro организации в качестве администратора.

  2. Выберите значок Settings (Параметры) в правом верхнем углу страницы.

    The settings icon in Jamf Pro

  3. Выберите Jamf Pro User Accounts & Groups (Группы и учетные записи пользователей Jamf Pro).

    The Jamf Pro User Accounts & Groups icon in Jamf Pro settings

  4. Выберите Создать.

    Jamf Pro User Accounts & Groups system settings page

  5. Выберите Create Standard Account (Создать стандартную учетную запись).

    The Create Standard Account option in the Jamf Pro User Accounts & Groups page

  6. В диалоговом окне Новая учетная запись сделайте следующее:

    New account setup options in Jamf Pro system settings

    a. В поле Имя пользователя введите Britta Simon полное имя тестового пользователя.

    b. Выберите параметрыУровень доступа, Privilege set (Набор привилегий) и Access status (Состояние доступа) в соответствии с параметрами организации.

    c. В поле Полное имя введите Britta Simon.

    d. В поле Адрес электронной почты введите адрес электронной почты для учетной записи Britta Simon.

    д) Введите пароль пользователя в поле Пароль.

    f. Повторно введите пароль пользователя в поле Проверьте пароль.

    ж. Выберите Сохранить.

Проверка конфигурации единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

Инициация поставщиком услуг:

  • Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа Jamf Pro, где можно инициировать поток входа.

  • Перейдите по URL-адресу для входа в Jamf Pro и инициируйте поток входа.

Вход, инициированный поставщиком удостоверений

  • Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение Jamf Pro, для которого настроили единый вход

Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув плитку Jamf Pro на портале "Мои приложения", вы будете перенаправлены на страницу входа приложения для инициации потока входа (при настройке в режиме поставщика услуг) или автоматически войдете в приложение Jamf Pro, для которого настроен единый вход (при настройке в режиме поставщика удостоверений). Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Следующие шаги

После настройки Jamf Pro вы можете применить функцию управления сеансом, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.