教學課程:Microsoft Entra SSO 與 Jamf Pro 整合
在本教學課程中,您將瞭解如何整合 Jamf Pro 與 Microsoft Entra ID。 在整合 Jamf Pro 與 Microsoft Entra ID 時,您可以.
- 使用 Microsoft Entra 識別符來控制可存取 Jamf Pro 的人員。
- 使用他們的 Microsoft Entra 帳戶自動將使用者登入 Jamf Pro。
- 在一個中央位置管理您的帳戶:Azure 入口網站。
必要條件
若要開始使用,您需要下列專案:
- Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶。
- 已啟用單一登錄 (SSO) 的 Jamf Pro 訂用帳戶。
案例描述
在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。
- Jamf Pro 支援 由SP起始 和 IdP起始的 SSO。
從資源庫新增 Jamf Pro
若要設定將 Jamf Pro 整合到 Microsoft Entra ID 中,您需要從資源庫將 Jamf Pro 新增到受控 SaaS 應用程式清單。
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式>企業應用程式>] [新增應用程式]。
- 在 [ 從資源庫 新增] 區段的搜尋方塊中輸入 Jamf Pro 。
- 從結果面板中選取 [Jamf Pro ],然後新增應用程式。 將應用程式新增至您的租使用者時,請稍候幾秒鐘。
或者,您也可以使用企業 應用程式組態 精靈。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解 Microsoft 365 精靈。
在 Jamf Pro 的 Microsoft Entra ID 中設定及測試 SSO
以名為 B.Simon 的測試用戶,設定及測試與 Jamf Pro 搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Jamf Pro 中相關使用者之間的連結關聯性。
在本節中,您會設定及測試與 Jamf Pro 搭配運作的 Microsoft Entra SSO。
- 在 Microsoft Entra ID 中設定 SSO,讓使用者可以使用這項功能。
- 建立 Microsoft Entra 測試使用者 ,以使用 B.Simon 帳戶測試 Microsoft Entra SSO。
- 指派 Microsoft Entra 測試使用者 ,讓 B.Simon 可以在 Microsoft Entra ID 中使用 SSO。
- 在 Jamf Pro 中設定 SSO,以在應用程式端設定 SSO 設定。
- 建立 Jamf Pro 測試使用者 ,使 Jamf Pro 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表專案。
- 測試 SSO 組態,以確認組態 是否正常運作。
在 Microsoft Entra ID 中設定 SSO
在本節中,您會啟用 Microsoft Entra SSO。
以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式>企業應用程式>Jamf Pro] 應用程式整合頁面,尋找 [管理] 區段並選取 [單一登錄]。
在 [ 選取單一登錄方法] 頁面上,選取 [SAML]。
在 [使用 SAML 設定單一登錄] 頁面上,選取 [基本 SAML 組態] 的鉛筆圖示以編輯設定。
在 [ 基本 SAML 組態 ] 區段上,如果您想要以 IdP 起始 模式設定應用程式,請輸入下列欄位的值:
a. 在 [ 標識符 ] 文本框中,輸入使用下列公式的 URL:
https://<subdomain>.jamfcloud.com/saml/metadata
b. 在 [ 回復 URL] 文本框中,輸入使用下列公式的 URL:
https://<subdomain>.jamfcloud.com/saml/SSO
選取 [ 設定其他 URL]。 如果您想要以 SP 起始 模式設定應用程式,請在 [登入 URL] 文字框中,輸入使用下列公式的 URL :
https://<subdomain>.jamfcloud.com
注意
這些值不是真實的。 使用實際的標識碼、回復 URL 和登入 URL 來更新這些值。 您將會從 Jamf Pro 入口網站中的 [單一登錄 ] 區段取得實際的標識碼值,本教學課程稍後會加以說明。 您可以從標識符值擷取實際的子域值,並使用該子域資訊作為登入 URL 和回復 URL。 您也可以參考基本 SAML 組態一節中顯示的公式。
在 [ 使用 SAML 設定單一登錄] 頁面上,移至 [SAML 簽署憑證 ] 區段,選取 複製 按鈕以複製 應用程式同盟元數據 URL,然後將它儲存至您的計算機。
建立 Microsoft Entra 測試使用者
在本節中,您會建立名為 B.Simon 的測試使用者。
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別使用者>所有使用者]。
- 選取畫面頂端的 [ 新增使用者 ]。
- 在 [ 用戶 屬性] 中,遵循下列步驟:
- 在 [ 名稱] 欄位中, 輸入
B.Simon
。 - 在 [ 用戶名稱] 字段中,輸入 [name]@[companydomain].[extension]。 例如:
B.Simon@contoso.com
。 - 選取 [顯示密碼] 複選框,然後記下 [密碼] 方塊中顯示的值。
- 選取 建立。
- 在 [ 名稱] 欄位中, 輸入
指派 Microsoft Entra 測試使用者
在本節中,您會將 Jamf Pro 的存取權授與 B.Simon。
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式企業應用程式>>Jamf Pro]。
- 在應用程式的 [概觀] 頁面中,尋找 [ 管理] 區段,然後選取 [ 使用者和群組]。
- 選取 [新增使用者],然後在 [新增指派] 對話框中選取 [使用者和群組]。
- 在 [使用者和群組] 對話框中,從 [使用者] 列表中選取 B.Simon,然後選取畫面底部的 [選取] 按鈕。
- 如果您預期將角色指派給使用者,您可以從 [選取角色] 下拉式清單中選取該 角色 。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取] 角色。
- 在 [新增指派] 對話框中,選取 [指派] 按鈕。
在 Jamf Pro 中設定 SSO
若要自動執行 Jamf Pro 內的設定,請選取 [安裝擴充功能],以安裝 我的應用程式 安全登入瀏覽器擴充功能。
將擴充功能新增至瀏覽器之後,請選取 [設定 Jamf Pro]。 當 Jamf Pro 應用程式開啟時,請提供系統管理員認證來登入。 瀏覽器擴充功能會自動設定應用程式,並將步驟 3 到 7 自動化。
若要手動設定 Jamf Pro,請開啟新的網頁瀏覽器視窗,並以系統管理員身分登入 Jamf Pro 公司網站。 然後,採取下列步驟。
從頁面右上角選取 設定 圖示。
選取 [單一登錄]。
在 [ 單一登錄 ] 頁面上,採取下列步驟。
a. 選取編輯。
b. 選取 [ 啟用單一登錄驗證 ] 複選框。
c. 從 [識別提供者] 下拉功能表中選取 [Azure] 作為選項。
d. 複製 [實體標識符] 值,並將它貼到 [基本 SAML 組態] 區段中的 [標識符][實體標識符] 字段中。
注意
使用欄位中的值
<SUBDOMAIN>
來完成 [基本 SAML 組態] 區段中的登入 URL 和回復 URL。e. 從 [識別提供者元數據來源] 下拉功能表中選取 [元數據 URL]。 在出現的欄位中,貼上您複製的應用程式 同盟元數據 URL 值。
f. (選擇性)編輯令牌到期值,或選取 [停用 SAML 令牌到期]。
在相同的頁面上,向下捲動至 [ 用戶對應] 區段。 然後,採取下列步驟。
a. 選取 [識別提供者用戶對應] 的 [NameID] 選項。 根據預設,此選項會設定為 NameID,但您可以定義自定義屬性。
b. 針對 Jamf Pro 使用者對應選取 [電子郵件]。 Jamf Pro 會先由使用者和群組對應 IdP 所傳送的 SAML 屬性。 當用戶嘗試存取 Jamf Pro 時,Jamf Pro 會從識別提供者取得使用者的相關信息,並將它與所有 Jamf Pro 使用者帳戶相符。 如果找不到連入用戶帳戶,Jamf Pro 會嘗試依組名比對它。
c. 將值
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
貼到 [識別提供者群組屬性名稱] 欄位中。d. 在相同的頁面上,向下捲動至 [安全性] 區段,然後選取 [允許使用者略過單一登錄驗證]。 因此,使用者不會重新導向至識別提供者登入頁面進行驗證,而且可以直接登入 Jamf Pro。 當使用者嘗試透過識別提供者存取 Jamf Pro 時,就會發生 IdP 起始的 SSO 驗證和授權。
e. 選取 [儲存]。
建立 Jamf Pro 測試使用者
為了讓 Microsoft Entra 使用者登入 Jamf Pro,必須將他們布建到 Jamf Pro。 Jamf Pro 中的布建是手動工作。
若要布建用戶帳戶,請執行下列步驟:
以系統管理員身分登入 Jamf Pro 公司網站。
選取頁面右上角的 設定 圖示。
選取 [Jamf Pro 用戶帳戶和群組]。
選取新增。
選取 [ 建立標準帳戶]。
在 [ 新增帳戶 ] 對話框中,執行下列步驟:
a. 在 [ 用戶名稱] 欄位中,輸入
Britta Simon
測試使用者的完整名稱。b. 選取 [存取層級]、[許可權集] 和 [存取狀態] 的選項,這些選項會根據您的組織。
c. 在 [ 完整名稱] 欄位中,輸入
Britta Simon
。d. 在 [ 電子郵件位址] 字段中,輸入 Britta Simon 帳戶的電子郵件位址。
e. 在 [ 密碼] 欄位中,輸入使用者的密碼。
f. 在 [ 驗證密碼] 欄位中,再次輸入用戶的密碼。
.g 選取 [儲存]。
測試 SSO 組態
在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登錄設定。
SP 起始:
按兩下 [ 測試此應用程式],這會重新導向至您可以在其中起始登入流程的 Jamf Pro 登入 URL。
直接移至 Jamf Pro 登入 URL,然後從該處起始登入流程。
IDP 起始:
- 按兩下 [ 測試此應用程式],您應該會自動登入您已設定 SSO 的 Jamf Pro
您也可以使用 Microsoft 我的應用程式 在任何模式中測試應用程式。 當您在 我的應用程式 中按下 Jamf Pro 圖格時,如果是在 SP 模式中設定,您會重新導向至應用程式登入頁面來起始登入流程,如果在 IDP 模式中設定,則應該會自動登入您已設定 SSO 的 Jamf Pro。 如需 我的應用程式 的詳細資訊,請參閱 我的應用程式 簡介。
下一步
設定 Jamf Pro 後,您可以強制執行會話控件,以即時防止組織的敏感數據遭到外泄和滲透。 會話控件會從條件式存取延伸。 瞭解如何使用 適用於雲端的 Microsoft Defender Apps 強制執行會話控件。