Självstudie: Microsoft Entra SSO-integrering med Jamf Pro

  • Artikel

I den här självstudien får du lära dig hur du integrerar Jamf Pro med Microsoft Entra-ID. När du integrerar Jamf Pro med Microsoft Entra-ID kan du:

  • Använd Microsoft Entra-ID för att styra vem som har åtkomst till Jamf Pro.
  • Logga automatiskt in dina användare till Jamf Pro med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats: Azure-portalen.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • En Jamf Pro-prenumeration som är enkel inloggning (SSO) aktiverad.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • Jamf Pro stöder SP-initierad och IdP-initierad enkel inloggning.

För att konfigurera integreringen av Jamf Pro i Microsoft Entra-ID måste du lägga till Jamf Pro från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet anger du Jamf Pro i sökrutan.
  4. Välj Jamf Pro i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa enkel inloggning i Microsoft Entra ID för Jamf Pro

Konfigurera och testa Microsoft Entra SSO med Jamf Pro med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Jamf Pro.

I det här avsnittet konfigurerar och testar du Microsoft Entra SSO med Jamf Pro.

  1. Konfigurera enkel inloggning i Microsoft Entra-ID så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare för att testa Microsoft Entra SSO med B.Simon-kontot.
    2. Tilldela Microsoft Entra-testanvändaren så att B.Simon kan använda enkel inloggning i Microsoft Entra-ID.
  2. Konfigurera enkel inloggning i Jamf Pro för att konfigurera SSO-inställningarna på programsidan.
    1. Skapa en Jamf Pro-testanvändare för att ha en motsvarighet till B.Simon i Jamf Pro som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa SSO-konfigurationen för att kontrollera att konfigurationen fungerar.

Konfigurera enkel inloggning i Microsoft Entra-ID

I det här avsnittet aktiverar du Enkel inloggning med Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Sidan för integrering av Jamf Pro-program för Identity>Applications>Enterprise-program>, leta upp avsnittet Hantera och välj Enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML väljer du pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Edit the Basic SAML Configuration page.

  5. Om du vill konfigurera programmet i IdP-initierat läge i avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:

    a. I textrutan Identifierare anger du en URL som använder följande formel:https://<subdomain>.jamfcloud.com/saml/metadata

    b. I textrutan Svars-URL anger du en URL som använder följande formel:https://<subdomain>.jamfcloud.com/saml/SSO

  6. Välj Ange ytterligare URL:er. Om du vill konfigurera programmet i SP-initierat läge i textrutan Inloggnings-URL anger du en URL som använder följande formel: https://<subdomain>.jamfcloud.com

    Kommentar

    Dessa värden är inte verkliga. Uppdatera dessa värden med den faktiska identifieraren, svars-URL:en och inloggnings-URL:en. Du får det faktiska identifierarvärdet från avsnittet Enkel inloggning i Jamf Pro-portalen , som beskrivs senare i självstudien. Du kan extrahera det faktiska underdomänvärdet från identifierarvärdet och använda den underdomäninformationen som din inloggnings-URL och svars-URL. Du kan också referera till de formler som visas i avsnittet Grundläggande SAML-konfiguration .

  7. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat, väljer kopieringsknappenför att kopiera url:en för appfederationsmetadata och sparar den sedan på datorn.

    The SAML Signing Certificate download link

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identitetsanvändare>>Alla användare.
  3. Välj Ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I Namn-fältet skriver du B.Simon.
    2. I fältet Användarnamn anger du [name]@[companydomain].[ extension]. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet ger du B.Simon åtkomst till Jamf Pro.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Jamf Pro.
  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och väljer sedan knappen Välj längst ned på skärmen.
  6. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
  7. I dialogrutan Lägg till tilldelning väljer du knappen Tilldela.

Konfigurera enkel inloggning i Jamf Pro

  1. Om du vill automatisera konfigurationen i Jamf Pro installerar du webbläsartillägget Mina appar säker inloggning genom att välja Installera tillägget.

    My Apps Secure Sign-in browser extension page

  2. När du har lagt till tillägget i webbläsaren väljer du Konfigurera Jamf Pro. När Jamf Pro-programmet öppnas anger du administratörsautentiseringsuppgifterna för att logga in. Webbläsartillägget konfigurerar automatiskt programmet och automatiserar steg 3 till och med 7.

    Setup configuration page in Jamf Pro

  3. Om du vill konfigurera Jamf Pro manuellt öppnar du ett nytt webbläsarfönster och loggar in på din Jamf Pro-företagswebbplats som administratör. Utför sedan följande steg.

  4. Välj ikonen Inställningar i det övre högra hörnet på sidan.

    Select the settings icon in Jamf Pro

  5. Välj Enkel inloggning.

    Select Single Sign-On in Jamf Pro

  6. På sidan Enkel inloggning utför du följande steg.

    The Single Sign-On page in Jamf Pro

    a. Välj Redigera.

    b. Markera kryssrutan Aktivera enkel inloggningsautentisering .

    c. Välj Azure som ett alternativ på den nedrullningsbara menyn Identitetsprovider .

    d. Kopiera entity-ID-värdet och klistra in det i fältet Identifierare (entitets-ID) i avsnittet Grundläggande SAML-konfiguration.

    Kommentar

    Använd värdet i fältet <SUBDOMAIN> för att slutföra inloggnings-URL:en och svars-URL:en i avsnittet Grundläggande SAML-konfiguration .

    e. Välj Metadata-URL från den nedrullningsbara menyn Identity Provider Metadata Source (Metadatakälla för identitetsprovider). I fältet som visas klistrar du in värdet för url:en för appfederationsmetadata som du har kopierat.

    f. (Valfritt) Redigera förfallovärdet för token eller välj "Inaktivera förfallodatum för SAML-token".

  7. På samma sida rullar du ned till avsnittet Användarmappning . Utför sedan följande steg.

    The User Mapping section of the Single Sign-On page in Jamf Pro.

    a. Välj alternativet NameID för identitetsproviderns användarmappning. Som standard är det här alternativet inställt på NameID, men du kan definiera ett anpassat attribut.

    b. Välj E-post för Jamf Pro-användarmappning. Jamf Pro mappar SAML-attribut som skickas av IdP först av användare och sedan efter grupper. När en användare försöker komma åt Jamf Pro hämtar Jamf Pro information om användaren från identitetsprovidern och matchar den mot alla Jamf Pro-användarkonton. Om det inkommande användarkontot inte hittas försöker Jamf Pro matcha det efter gruppnamn.

    c. Klistra in värdet http://schemas.microsoft.com/ws/2008/06/identity/claims/groups i fältet IDENTITY PROVIDER GROUP ATTRIBUTE NAME (IDENTITY PROVIDER GROUP ATTRIBUTE NAME ).

    d. På samma sida rullar du ned till avsnittet Säkerhet och väljer Tillåt användare att kringgå autentisering med enkel inloggning. Därför omdirigeras användarna inte till inloggningssidan för identitetsprovidern för autentisering och kan logga in på Jamf Pro direkt i stället. När en användare försöker få åtkomst till Jamf Pro via identitetsprovidern sker görs IdP-initierad autentisering och auktorisering med enkel inloggning.

    e. Välj Spara.

Skapa en Jamf Pro-testanvändare

För att Microsoft Entra-användare ska kunna logga in på Jamf Pro måste de etableras i Jamf Pro. Etablering i Jamf Pro är en manuell uppgift.

Utför följande steg för att etablera ett användarkonto:

  1. Logga in på din Jamf Pro-företagswebbplats som administratör.

  2. Välj ikonen Inställningar i det övre högra hörnet på sidan.

    The settings icon in Jamf Pro

  3. Välj Jamf Pro-användarkonton och grupper.

    The Jamf Pro User Accounts & Groups icon in Jamf Pro settings

  4. Välj Ny.

    Jamf Pro User Accounts & Groups system settings page

  5. Välj Create Standard Account (Skapa standardkonto).

    The Create Standard Account option in the Jamf Pro User Accounts & Groups page

  6. Utför följande steg i dialogrutan Nytt konto :

    New account setup options in Jamf Pro system settings

    a. I fältet ANVÄNDARNAMN anger du Britta Simon, testanvändarens fullständiga namn.

    b. Välj de alternativ för ÅTKOMSTNIVÅ, PRIVILEGE SET och ÅTKOMSTSTATUS som är i enlighet med din organisation.

    c. I fältet FULLSTÄNDIGT NAMN anger du Britta Simon.

    d. I fältet E-POSTADRESS anger du e-postadressen för Britta Simons konto.

    e. I fältet LÖSENORD anger du användarens lösenord.

    f. I fältet VERIFIERA LÖSENORD anger du användarens lösenord igen.

    g. Välj Spara.

Testa SSO-konfigurationen

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

SP-initierad:

  • Klicka på Testa det här programmet, detta omdirigeras till Jamf Pro Sign on URL där du kan initiera inloggningsflödet.

  • Gå till Jamf Pro-inloggnings-URL direkt och initiera inloggningsflödet därifrån.

IDP-initierad:

  • Klicka på Testa det här programmet så bör du automatiskt loggas in på Jamf Pro som du har konfigurerat enkel inloggning för

Du kan också använda Microsoft Mina appar för att testa programmet i valfritt läge. När du klickar på Jamf Pro-panelen i Mina appar omdirigeras du om du är konfigurerad i SP-läge till sidan för programinloggning för att initiera inloggningsflödet och om det konfigureras i IDP-läge bör du automatiskt loggas in på Jamf Pro som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat Jamf Pro kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorsstyrd åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.