Esercitazione: Integrazione dell'accesso Single Sign-On di Microsoft Entra con Jamf Pro

  • Articolo

In questa esercitazione si apprenderà come integrare Jamf Pro con Microsoft Entra ID. Integrando Jamf Pro con Microsoft Entra ID, è possibile:

  • Usare Microsoft Entra ID per controllare chi può accedere a Jamf Pro.
  • Accedere automaticamente agli utenti a Jamf Pro con gli account Microsoft Entra personali.
  • È possibile gestire gli account in un'unica posizione centrale: il portale di Azure.

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
  • Sottoscrizione di Jamf Pro abilitata per l'accesso Single Sign-On (SSO).

Descrizione dello scenario

In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

  • Jamf Pro supporta l'accesso SSO avviato da SP e IdP.

Per configurare l'integrazione di Jamf Pro in Microsoft Entra ID, è necessario aggiungere Jamf Pro dalla raccolta al proprio elenco di app SaaS gestite.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Nuova applicazione.
  3. Nella sezione Aggiungi dalla raccolta immettere Jamf Pro nella casella di ricerca.
  4. Selezionare Jamf Pro nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.

In alternativa, è anche possibile usare l'Enterprise Configurazione app Wizard. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso SSO in Microsoft Entra ID for Jamf Pro

Configurare e testare l'accesso SSO di Microsoft Entra con Jamf Pro usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Jamf Pro.

In questa sezione viene configurato e testato l'accesso SSO di Microsoft Entra con Jamf Pro.

  1. Configurare l'accesso Single Sign-On in Microsoft Entra ID in modo che gli utenti possano usare questa funzionalità.
    1. Creare un utente di test di Microsoft Entra per testare l'accesso SSO di Microsoft Entra con l'account B.Simon.
    2. Assegnare l'utente di test di Microsoft Entra in modo che B.Simon possa usare l'accesso SSO in Microsoft Entra ID.
  2. Configurare l'accesso Single Sign-On in Jamf Pro: per configurare le impostazioni di Single Sign-On sul lato applicazione.
    1. Creare un utente di test di Jamf Pro per avere una controparte di B.Simon in Jamf Pro collegata alla rappresentazione dell'utente in Microsoft Entra.
  3. Testare la configurazione dell'accesso Single Sign-On: per verificare se la configurazione funziona.

Configurare l'accesso Single Sign-On in Microsoft Entra ID

In questa sezione viene abilitato l'accesso SSO di Microsoft Entra.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

  2. Passare alla pagina di integrazione dell'applicazione Jamf Pro di applicazioni>Identity>Applications>Enterprise, individuare la sezione Gestione e selezionare Single Sign-On.

  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  4. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita relativa a Configurazione SAML di base per modificare le impostazioni.

    Edit the Basic SAML Configuration page.

  5. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti se si vuole configurare l'applicazione in modalità avviata da IDP:

    a. Nella casella di testo Identificatore immettere un URL nel formato seguente: https://<subdomain>.jamfcloud.com/saml/metadata

    b. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https://<subdomain>.jamfcloud.com/saml/SSO

  6. Selezionare Imposta URL aggiuntivi. Se si vuole configurare l'applicazione in modalità avviata da SP nella casella di testo URL di accesso immettere un URL nel formato seguente: https://<subdomain>.jamfcloud.com

    Nota

    Poiché questi non sono i valori reali, aggiornarli con l'identificatore, l'URL di risposta e l'URL di accesso effettivi. Si otterrà il valore effettivo dell'identificatore dalla sezione Single Sign-On del portale di Jamf Pro, come illustrato più avanti nell'esercitazione. È possibile estrarre il valore effettivo di subdomain dal valore dell'identificatore e usare tali informazioni di subdomain nell'URL di accesso e nell'URL di risposta. È anche possibile fare riferimento alle formule visualizzate nella sezione Configurazione SAML di base.

  7. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML selezionare il pulsante Copia per copiare l'URL dei metadati di federazione dell'app e salvarlo nel computer in uso.

    The SAML Signing Certificate download link

Creare un utente di test di Microsoft Entra

In questa sezione viene creato un utente di test di nome B.Simon.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
  2. Passare a Utenti>identità>Tutti gli utenti.
  3. Selezionare Nuovo utente in alto nella schermata.
  4. Nelle proprietà Utente seguire questa procedura:
    1. Nel campo Nome immettere B.Simon.
    2. Nel campo Nome utente immettere [nome]@[dominioaziendale].[estensione]. Ad esempio: B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
    4. Seleziona Crea.

Assegnare l'utente di test di Microsoft Entra

In questa sezione si concede a B.Simon l'accesso a Jamf Pro.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Jamf Pro.
  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi selezionare il pulsante Seleziona nella parte inferiore della schermata.
  6. Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
  7. Nella finestra di dialogo Aggiungi assegnazione selezionare il pulsante Assegna.

Configurare l'accesso Single Sign-On in Jamf Pro

  1. Per automatizzare la configurazione all'interno di Jamf Pro, installare l'estensione del browser My Apps Secure Sign-in selezionando Installa estensione.

    My Apps Secure Sign-in browser extension page

  2. Dopo aver aggiunto l'estensione al browser, selezionare Configura Jamf Pro. Quando si apre l'applicazione Jamf Pro, specificare le credenziali di amministratore per eseguire l'accesso. L'estensione del browser configurerà automaticamente l'applicazione e automatizzerà i passaggi da 3 a 7.

    Setup configuration page in Jamf Pro

  3. Per configurare manualmente Jamf Pro, aprire un'altra finestra del Web browser e accedere al sito aziendale di Jamf Pro come amministratore. Seguire quindi questa procedura.

  4. Selezionare l'icona Settings (Impostazioni) nell'angolo in alto a destra nella pagina.

    Select the settings icon in Jamf Pro

  5. Selezionare Single Sign-On.

    Select Single Sign-On in Jamf Pro

  6. Nella pagina Single Sign-On seguire questa procedura.

    The Single Sign-On page in Jamf Pro

    a. Seleziona Modifica.

    b. Selezionare la casella di testo Enable Single Sign-On Authentication (Abilita autenticazione Single Sign-On).

    c. Selezionare Azure come opzione nell'elenco a discesa Identity Provider (Provider di identità).

    d. Copiare il valore entity ID (ID ENTITÀ) e incollarlo nel campo Identificatore (ID entità) nella sezione Configurazione SAML di base.

    Nota

    Usare il valore nel <SUBDOMAIN> campo per completare l'URL di accesso e l'URL di risposta nella sezione Configurazione SAML di base.

    e. Selezionare Metadata URL (URL metadati) nel menu a discesa Identity Provider Metadata Source (Origine metadati del provider di identità). Nel campo visualizzato incollare il valore dell'URL dei metadati di federazione dell'app copiato.

    f. (Facoltativo) Modificare il valore di scadenza del token o selezionare Disable SAML token expiration (Disabilita scadenza del token SAML).

  7. Nella stessa pagina scorrere fino alla sezione User Mapping (Mapping utente). Seguire quindi questa procedura.

    The User Mapping section of the Single Sign-On page in Jamf Pro.

    a. Selezionare l'opzione NameID (ID nome) per Identity Provider User Mapping (Mapping utente del provider di identità). Per impostazione predefinita, questa opzione è impostata su NameID (ID nome), ma è possibile definire un attributo personalizzato.

    b. Selezionare Email (Posta elettronica) per Jamf Pro User Mapping (Mapping utente di Jamf Pro). Jamf Pro esegue il mapping degli attributi SAML inviati dall'IdP prima per utenti e poi per gruppi. Se un utente prova ad accedere a Jamf Pro, l'applicazione recupera le informazioni sull'utente dal provider di identità e cerca una corrispondenza tra tutti gli account utente. Se l'account utente in ingresso non viene trovato, Jamf Pro cerca una corrispondenza in base al nome del gruppo.

    c. Incollare il valore http://schemas.microsoft.com/ws/2008/06/identity/claims/groups nel campo IDENTITY PROVIDER GROUP ATTRIBUTE NAME (NOME ATTRIBUTO GRUPPO DEL PROVIDER DI IDENTITÀ).

    d. Nella stessa pagina scorrere verso il basso fino alla sezione Security (Sicurezza) e selezionare Allow users to bypass the Single Sign-On authentication (Consenti agli utenti di ignorare l'autenticazione Single Sign-on). In questo modo, gli utenti non vengono reindirizzati alla pagina di accesso del provider di identità per l'autenticazione e possono accedere direttamente a Jamf Pro. Se un utente prova ad accedere a Jamf Pro tramite il provider di identità, l'autenticazione SSO e l'autorizzazione vengono avviate dal provider di identità.

    e. Seleziona Salva.

Creare un utente di test di Jamf Pro

Per consentire agli utenti di Microsoft Entra di accedere a Jamf Pro, è necessario eseguirne il provisioning in Jamf Pro. Nel caso di Jamf Pro il provisioning è un'attività manuale.

Per effettuare il provisioning di un account utente, seguire questa procedura:

  1. Accedere al sito aziendale di Jamf Pro come amministratore.

  2. Selezionare l'icona Impostazioni nell'angolo superiore destro della pagina.

    The settings icon in Jamf Pro

  3. Selezionare Jamf Pro User Accounts & Groups (Gruppi e account utente di Jamf Pro).

    The Jamf Pro User Accounts & Groups icon in Jamf Pro settings

  4. Seleziona Nuovo.

    Jamf Pro User Accounts & Groups system settings page

  5. Fare clic su Create Standard Account (Crea account standard).

    The Create Standard Account option in the Jamf Pro User Accounts & Groups page

  6. Nella finestra di dialogo New Account (Nuovo account) seguire questa procedura:

    New account setup options in Jamf Pro system settings

    a. Nel campo USERNAME (NOME UTENTE) immettere Britta Simon, il nome completo dell'utente di test.

    b. Selezionare le opzioni per ACCESS LEVEL (LIVELLO DI ACCESSO), PRIVILEGE SET (SET DI PRIVILEGI) e ACCESS STATUS (STATO ACCESSO) conformemente all'organizzazione.

    c. Nel campo FULL NAME (NOME E COGNOME) immettere Britta Simon.

    d. Nel campo EMAIL ADDRESS (INDIRIZZO DI POSTA ELETTRONICA) immettere l'indirizzo di posta elettronica dell'account di Britta Simon.

    e. Nel campo PASSWORD immettere la password dell'utente.

    f. Nel campo VERIFY PASSWORD (VERIFICA PASSWORD) digitare nuovamente la password dell'utente.

    g. Seleziona Salva.

Testare la configurazione dell'accesso Single Sign-On

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

Avviato da SP:

  • Fare clic su Test this application (Testa questa applicazione), verrà eseguito il reindirizzamento all'URL di accesso di Jamf Pro in cui è possibile avviare il flusso di accesso.

  • Passare direttamente all'URL di accesso di Jamf Pro e avviare il flusso di accesso da questa posizione.

Avviato da IDP:

  • Fare clic su Test this application (Testa questa applicazione) e si dovrebbe accedere automaticamente all'applicazione Jamf Pro per cui si è configurato l'accesso SSO

È anche possibile usare App personali Microsoft per testare l'applicazione in qualsiasi modalità. Quando si fa clic sul riquadro di Jamf Pro in App personali, se è stato configurato in modalità SP, si dovrebbe essere reindirizzati alla pagina di accesso dell'applicazione per avviare il flusso di accesso; se invece è configurato in modalità IDP, si dovrebbe accedere automaticamente all'istanza di Jamf Pro per cui si è configurato l'accesso SSO. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Passaggi successivi

Dopo aver configurato Jamf Pro, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con app Microsoft Defender per il cloud.