Kurz: Integrace jednotného přihlašování Microsoft Entra s Jamf Pro

  • Článek

V tomto kurzu se dozvíte, jak integrovat Jamf Pro s Microsoft Entra ID. Když integrujete Jamf Pro s Microsoft Entra ID, můžete:

  • Pomocí Microsoft Entra ID můžete určit, kdo má přístup k Jamf Pro.
  • Automaticky se přihlaste k Jamf Pro pomocí svých účtů Microsoft Entra.
  • Správa účtů v jednom centrálním umístění: na webu Azure Portal.

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Předplatné Jamf Pro, které je povolené jednotné přihlašování (SSO).

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • Jamf Pro podporuje jednotné přihlašování iniciované pomocí sp.

Pokud chcete nakonfigurovat integraci Jamf Pro do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat Jamf Pro z galerie.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. Do vyhledávacího pole v části Přidat z galerie zadejte Jamf Pro.
  4. Na panelu výsledků vyberte Jamf Pro a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování v Microsoft Entra ID pro Jamf Pro

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s Jamf Pro pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v Jamf Pro.

V této části nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra s Jamf Pro.

  1. Nakonfigurujte jednotné přihlašování v Microsoft Entra ID , aby uživatelé mohli tuto funkci používat.
    1. Vytvořte testovacího uživatele Microsoft Entra, který otestuje jednotné přihlašování Microsoft Entra pomocí účtu B.Simon.
    2. Přiřaďte testovacího uživatele Microsoft Entra, aby B.Simon mohl používat jednotné přihlašování v Microsoft Entra ID.
  2. Nakonfigurujte jednotné přihlašování v Jamf Pro tak, aby na straně aplikace nakonfigurovali nastavení jednotného přihlašování.
    1. Vytvořte testovacího uživatele Jamf Pro, který bude mít protějšek B.Simon v Jamf Pro, který je propojený s reprezentací Microsoft Entra uživatele.
  3. Otestujte konfiguraci jednotného přihlašování a ověřte, že konfigurace funguje.

Konfigurace jednotného přihlašování v Microsoft Entra ID

V této části povolíte jednotné přihlašování Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte na stránku integrace aplikací Identit>Applications Enterprise>Jamf>Pro, vyhledejte oddíl Spravovat a vyberte Jednotné přihlašování.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Edit the Basic SAML Configuration page.

  5. Pokud chcete nakonfigurovat aplikaci v režimu inicializování zprostředkovatele identity, zadejte hodnoty pro následující pole v části Základní konfigurace SAML:

    a. Do textového pole Identifikátor zadejte adresu URL, která používá následující vzorec: https://<subdomain>.jamfcloud.com/saml/metadata

    b. Do textového pole Adresa URL odpovědi zadejte adresu URL, která používá následující vzorec: https://<subdomain>.jamfcloud.com/saml/SSO

  6. Vyberte Nastavit další adresy URL. Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném sp , zadejte do textového pole Přihlašovací adresa URL adresu URL, která používá následující vzorec: https://<subdomain>.jamfcloud.com

    Poznámka:

    Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a přihlašovací adresou URL. Skutečnou hodnotu identifikátoru získáte v části Jednotné přihlašování na portálu Jamf Pro, která je vysvětlená dále v tomto kurzu. Skutečnou hodnotu subdomény můžete extrahovat z hodnoty identifikátoru a tuto subdoménu použít jako přihlašovací adresu URL a adresu URL odpovědi. Můžete také odkazovat na vzorce uvedené v části Základní konfigurace SAML.

  7. Na stránce Nastavit jednotné přihlašování pomocí SAML přejděte do části Podpisový certifikát SAML, vyberte tlačítko kopírování a zkopírujte adresu URL federačních metadat aplikace a pak ji uložte do počítače.

    The SAML Signing Certificate download link

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele S názvem B.Simon.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel .
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Název zadejte B.Simon.
    2. Do pole Uživatelské jméno zadejte [name]@[companydomain].[ rozšíření]. Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části udělíte B.Simon přístup k Jamf Pro.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte na Podnikové aplikace>Identity>Applications>Jamf Pro.
  3. Na stránce s přehledem aplikace najděte oddíl Spravovat a vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
  5. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a pak vyberte tlačítko Vybrat v dolní části obrazovky.
  6. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
  7. V dialogovém okně Přidat přiřazení vyberte tlačítko Přiřadit .

Konfigurace jednotného přihlašování v Jamf Pro

  1. Pokud chcete automatizovat konfiguraci v rámci Jamf Pro, nainstalujte rozšíření Moje aplikace zabezpečeného přihlašovacího prohlížeče výběrem možnosti Nainstalovat rozšíření.

    My Apps Secure Sign-in browser extension page

  2. Po přidání rozšíření do prohlížeče vyberte Nastavit Jamf Pro. Po otevření aplikace Jamf Pro zadejte přihlašovací údaje správce pro přihlášení. Rozšíření prohlížeče automaticky nakonfiguruje aplikaci a automatizuje kroky 3 až 7.

    Setup configuration page in Jamf Pro

  3. Pokud chcete Jamf Pro nastavit ručně, otevřete nové okno webového prohlížeče a přihlaste se k firemnímu webu Jamf Pro jako správce. Pak proveďte následující kroky.

  4. V pravém horním rohu stránky vyberte ikonu Nastavení.

    Select the settings icon in Jamf Pro

  5. Vyberte jednotné přihlašování.

    Select Single Sign-On in Jamf Pro

  6. Na stránce jednotného přihlašování proveďte následující kroky.

    The Single Sign-On page in Jamf Pro

    a. Vyberte položku Upravit.

    b. Zaškrtněte políčko Povolit jednotné přihlašování.

    c. V rozevírací nabídce zprostředkovatele identity vyberte Azure.

    d. Zkopírujte hodnotu ID entity a vložte ji do pole Identifikátor (ID entity) v části Základní konfigurace SAML.

    Poznámka:

    Pomocí hodnoty v <SUBDOMAIN> poli vyplňte přihlašovací adresu URL a adresu URL odpovědi v části Základní konfigurace SAML.

    e. V rozevírací nabídce Zdroj metadat zprostředkovatele identity vyberte adresu URLmetadat metadat. Do pole, které se zobrazí, vložte hodnotu URL federačních metadat aplikace, kterou jste zkopírovali.

    f. (Volitelné) Upravte hodnotu vypršení platnosti tokenu nebo vyberte Zakázat vypršení platnosti tokenu SAML.

  7. Na stejné stránce se posuňte dolů do části Mapování uživatelů. Pak proveďte následující kroky.

    The User Mapping section of the Single Sign-On page in Jamf Pro.

    a. Vyberte možnost NameID pro mapování uživatelů zprostředkovatele identity. Ve výchozím nastavení je tato možnost nastavená na NameID, ale můžete definovat vlastní atribut.

    b. Vyberte e-mail pro mapování uživatelů Jamf Pro. Jamf Pro mapuje atributy SAML odesílané zprostředkovatele identity nejprve uživateli a potom skupinami. Když se uživatel pokusí o přístup k Jamf Pro, Jamf Pro získá informace o uživateli od zprostředkovatele identity a porovná ho se všemi uživatelskými účty Jamf Pro. Pokud se příchozí uživatelský účet nenajde, jamf Pro se pokusí ho spárovat podle názvu skupiny.

    c. Vložte hodnotu http://schemas.microsoft.com/ws/2008/06/identity/claims/groups do pole NÁZEV ATRIBUTU SKUPINY ZPROSTŘEDKOVATELE IDENTITY.

    d. Na stejné stránce se posuňte dolů do části Zabezpečení a vyberte Povolit uživatelům obejít ověřování jednotného přihlašování. V důsledku toho se uživatelé nebudou přesměrovat na přihlašovací stránku zprostředkovatele identity pro ověřování a můžou se místo toho přihlásit k Jamf Pro. Když se uživatel pokusí o přístup k Jamf Pro prostřednictvím zprostředkovatele identity, dojde k ověřování a autorizaci iniciované zprostředkovatelem identity iniciované zprostředkovatelem identity.

    e. Zvolte Uložit.

Vytvoření testovacího uživatele Jamf Pro

Aby se uživatelé Microsoft Entra přihlásili k Jamf Pro, musí být ve službě Jamf Pro zřízeni. Zřizování v Jamf Pro je ruční úloha.

Pokud chcete zřídit uživatelský účet, proveďte následující kroky:

  1. Přihlaste se k firemnímu webu Jamf Pro jako správce.

  2. Vyberte ikonu Nastavení v pravém horním rohu stránky.

    The settings icon in Jamf Pro

  3. Vyberte Uživatelské účty a skupiny Jamf Pro.

    The Jamf Pro User Accounts & Groups icon in Jamf Pro settings

  4. Vyberte Nový.

    Jamf Pro User Accounts & Groups system settings page

  5. Vyberte Vytvořit standardní účet.

    The Create Standard Account option in the Jamf Pro User Accounts & Groups page

  6. V dialogovém okně Nový účet proveďte následující kroky:

    New account setup options in Jamf Pro system settings

    a. Do pole UŽIVATELSKÉ JMÉNO zadejte Britta Simoncelé jméno testovacího uživatele.

    b. Vyberte možnosti PRO ÚROVEŇ PŘÍSTUPU, SADU OPRÁVNĚNÍ a STAV PŘÍSTUPU, které jsou v souladu s vaší organizací.

    c. Do pole CELÉ JMÉNO zadejte Britta Simon.

    d. Do pole E-MAILOVÁ ADRESA zadejte e-mailovou adresu účtu Britta Simona.

    e. Do pole HESLO zadejte heslo uživatele.

    f. Do pole OVĚŘIT HESLO zadejte znovu heslo uživatele.

    g. Zvolte Uložit.

Otestování konfigurace jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

Inicializovaná aktualizace:

  • Klikněte na Otestovat tuto aplikaci, tím se přesměruje na přihlašovací adresu URL Jamf Pro, kde můžete zahájit tok přihlášení.

  • Přejděte přímo na přihlašovací adresu URL Jamf Pro a spusťte tok přihlášení odsud.

Iniciovaný protokol IDP:

  • Klikněte na Otestovat tuto aplikaci a měli byste být automaticky přihlášení k Jamf Pro, pro kterou jste nastavili jednotné přihlašování.

K otestování aplikace v libovolném režimu můžete také použít Microsoft Moje aplikace. Když kliknete na dlaždici Jamf Pro v Moje aplikace, pokud je nakonfigurovaný v režimu SP, budete přesměrováni na přihlašovací stránku aplikace pro inicializace toku přihlášení a pokud je nakonfigurovaný v režimu IDP, měli byste být automaticky přihlášení k Jamf Pro, pro který jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete Jamf Pro, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.