Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Azure Active Directory con Jamf ProTutorial: Azure Active Directory single sign-on (SSO) integration with Jamf Pro

Questa esercitazione descrive come integrare Jamf Pro con Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate Jamf Pro with Azure Active Directory (Azure AD). Integrando Jamf Pro con Azure AD, è possibile:When you integrate Jamf Pro with Azure AD, you can:

  • Controllare in Azure AD chi può accedere a Jamf Pro.Control in Azure AD who has access to Jamf Pro.
  • Abilitare gli utenti per l'accesso automatico a Jamf Pro con gli account Azure AD personali.Enable your users to be automatically signed-in to Jamf Pro with their Azure AD accounts.
  • Gestire gli account in un'unica posizione centrale: il portale di Azure.Manage your accounts in one central location - the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Accesso Single Sign-On alle applicazioni in Azure Active Directory.To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

PrerequisitiPrerequisites

Per iniziare, sono necessari gli elementi seguenti:To get started, you need the following items:

  • Una sottoscrizione di Azure AD.An Azure AD subscription. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.If you don't have a subscription, you can get a free account.
  • Sottoscrizione di Jamf Pro (SSO) abilitata per l'accesso Single Sign-On.Jamf Pro single sign-on (SSO) enabled subscription.

Descrizione dello scenarioScenario description

In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you configure and test Azure AD SSO in a test environment.

  • Jamf Pro supporta l'accesso SSO avviato da SP e IdPJamf Pro supports SP and IDP initiated SSO

Per configurare l'integrazione di Jamf Pro in Azure AD, è necessario aggiungere Jamf Pro dalla raccolta all'elenco di app SaaS gestite.To configure the integration of Jamf Pro into Azure AD, you need to add Jamf Pro from the gallery to your list of managed SaaS apps.

  1. Accedere al portale di Azure con un account aziendale o dell'istituto di istruzione oppure con un account Microsoft personale.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. Nel riquadro di spostamento a sinistra selezionare il servizio Azure Active Directory.On the left navigation pane, select the Azure Active Directory service.
  3. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.Navigate to Enterprise Applications and then select All Applications.
  4. Per aggiungere una nuova applicazione, selezionare Nuova applicazione.To add new application, select New application.
  5. Nella sezione Aggiungi dalla raccolta digitare Jamf Pro nella casella di ricerca.In the Add from the gallery section, type Jamf Pro in the search box.
  6. Selezionare Jamf Pro nel pannello dei risultati e quindi aggiungere l'app.Select Jamf Pro from results panel and then add the app. Attendere alcuni secondi che l'app venga aggiunta al tenant.Wait a few seconds while the app is added to your tenant.

Configurare e testare l'accesso Single Sign-On di Azure AD per Jamf ProConfigure and test Azure AD single sign-on for Jamf Pro

Configurare e testare l'accesso SSO di Azure AD con Jamf Pro usando un utente di test di nome B.Simon.Configure and test Azure AD SSO with Jamf Pro using a test user called B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Azure AD e l'utente correlato in Jamf Pro.For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in Jamf Pro.

Per configurare e testare l'accesso SSO di Azure AD con Jamf Pro, completare le procedure di base seguenti:To configure and test Azure AD SSO with Jamf Pro, complete the following building blocks:

  1. Configurare l'accesso Single Sign-On di Azure AD : per consentire agli utenti di usare questa funzionalità.Configure Azure AD SSO - to enable your users to use this feature.
    1. Creare un utente di test di Azure AD : per testare l'accesso Single Sign-On di Azure AD con l'utente B.Simon.Create an Azure AD test user - to test Azure AD single sign-on with B.Simon.
    2. Assegnare l'utente di test di Azure AD : per abilitare B.Simon all'uso dell'accesso Single Sign-On di Azure AD.Assign the Azure AD test user - to enable B.Simon to use Azure AD single sign-on.
  2. Configurare l'accesso Single Sign-On di Jamf Pro : per configurare le impostazioni di Single Sign-On sul lato applicazione.Configure Jamf Pro SSO - to configure the single sign-on settings on application side.
    1. Creare l'utente di test di Jamf Pro : per avere una controparte di B.Simon in Jamf Pro collegata alla rappresentazione dell'utente in Azure AD.Create Jamf Pro test user - to have a counterpart of B.Simon in Jamf Pro that is linked to the Azure AD representation of user.
  3. Testare l'accesso Single Sign-On : per verificare se la configurazione funziona.Test SSO - to verify whether the configuration works.

Configurare l'accesso SSO di Azure ADConfigure Azure AD SSO

Per abilitare l'accesso Single Sign-On di Azure AD nel portale di Azure, seguire questa procedura.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Nella pagina di integrazione dell'applicazione Jamf Pro del portale di Azure individuare la sezione Gestione e selezionare Single Sign-On.In the Azure portal, on the Jamf Pro application integration page, find the Manage section and select single sign-on.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.On the Select a single sign-on method page, select SAML.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica (la penna) relativa a Configurazione SAML di base per modificare le impostazioni.On the Set up single sign-on with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Modificare la configurazione SAML di base

  4. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti se si vuole configurare l'applicazione in modalità avviata da IDP:On the Basic SAML Configuration section, if you wish to configure the application in IDP initiated mode, enter the values for the following fields:

    a.a. Nella casella di testo Identificatore digitare un URL nel formato seguente: https://<subdomain>.jamfcloud.com/saml/metadataIn the Identifier text box, type a URL using the following pattern: https://<subdomain>.jamfcloud.com/saml/metadata

    b.b. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https://<subdomain>.jamfcloud.com/saml/SSOIn the Reply URL text box, type a URL using the following pattern: https://<subdomain>.jamfcloud.com/saml/SSO

  5. Fare clic su Impostare URL aggiuntivi e seguire questa procedura se si vuole configurare l'applicazione in modalità avviata da SP:Click Set additional URLs and perform the following step if you wish to configure the application in SP initiated mode:

    Nella casella di testo URL accesso digitare un URL nel formato seguente: https://<subdomain>.jamfcloud.comIn the Sign-on URL text box, type a URL using the following pattern: https://<subdomain>.jamfcloud.com

    Nota

    Poiché questi non sono i valori reali,These values are not real. è necessario aggiornarli con l'identificatore, l'URL di risposta e l'URL di accesso effettivi.Update these values with the actual Identifier, Reply URL, and Sign-On URL. Si otterrà il valore effettivo dell'identificatore dalla sezione Single Sign-On del portale di Jamf Pro, come illustrato più avanti nell'esercitazione.You will get the actual Identifier value from Single Sign-On section in Jamf Pro portal, which is explained later in the tutorial. È possibile estrarre il valore effettivo di subdomain dal valore dell'identificatore e usare tali informazioni di subdomain in URL di accesso e URL di risposta.You can extract the actual subdomain value from the identifier value and use that subdomain information in Sign-on URL and Reply URL. È anche possibile fare riferimento ai modelli mostrati nella sezione Configurazione SAML di base del portale di Azure.You can also refer to the patterns shown in the Basic SAML Configuration section in the Azure portal.

  6. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML fare clic sul pulsante Copia per copiare l'URL dei metadati di federazione dell'app e salvarlo nel computer.On the Set up single sign-on with SAML page, In the SAML Signing Certificate section, click copy button to copy App Federation Metadata Url and save it on your computer.

    Collegamento di download del certificato

Creare un utente di test di Azure ADCreate an Azure AD test user

In questa sezione verrà creato un utente di test di nome B.Simon nel portale di Azure.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Nel riquadro sinistro del portale di Azure selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Selezionare Nuovo utente in alto nella schermata.Select New user at the top of the screen.
  3. In Proprietà utente seguire questa procedura:In the User properties, follow these steps:
    1. Nel campo Nome immettere B.Simon.In the Name field, enter B.Simon.
    2. Nel campo Nome utente immettere username@companydomain.extension.In the User name field, enter the username@companydomain.extension. Ad esempio: B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Fare clic su Create(Crea).Click Create.

Assegnare l'utente di test di Azure ADAssign the Azure AD test user

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a Jamf Pro.In this section, you'll enable B.Simon to use Azure single sign-on by granting access to Jamf Pro.

  1. Nel portale di Azure selezionare Applicazioni aziendali e quindi Tutte le applicazioni.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. Nell'elenco delle applicazioni selezionare Jamf Pro.In the applications list, select Jamf Pro.

  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.In the app's overview page, find the Manage section and select Users and groups.

    Collegamento "Utenti e gruppi"

  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.Select Add user, then select Users and groups in the Add Assignment dialog.

    Collegamento Aggiungi utente

  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Selezionare un ruolo selezionare il ruolo appropriato per l'utente dall'elenco e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.In the Add Assignment dialog, click the Assign button.

Configurare l'accesso Single Sign-On di Jamf ProConfigure Jamf Pro SSO

  1. Per automatizzare la configurazione all'interno di Jamf Pro, è necessario installare l'estensione del browser per l'accesso sicuro alle app personali facendo clic su Installare l'estensione.To automate the configuration within Jamf Pro, you need to install My Apps Secure Sign-in browser extension by clicking Install the extension.

    Estensione per App personali

  2. Dopo aver aggiunto l'estensione al browser, fare clic su setup Jamf Pro per passare direttamente all'applicazione Jamf Pro.After adding extension to the browser, click on setup Jamf Pro will direct you to the Jamf Pro application. Da qui, fornire le credenziali di amministratore per accedere a Jamf Pro.From there, provide the admin credentials to sign into Jamf Pro. L'estensione del browser configurerà automaticamente l'applicazione per l'utente e automatizzerà i passaggi da 3 a 7.The browser extension will automatically configure the application for you and automate steps 3-7.

    Eseguire la configurazione

  3. Se si vuole configurare manualmente Jamf Pro, aprire una nuova finestra del Web browser, accedere al sito aziendale di Jamf Pro come amministratore e seguire questa procedura:If you want to setup Jamf Pro manually, open a new web browser window and sign into your Jamf Pro company site as an administrator and perform the following steps:

  4. Fare clic sull'icona Settings (Impostazioni) nell'angolo superiore destro della pagina.Click on the Settings icon from the top right corner of the page.

    Configurazione di Jamf Pro

  5. Fare clic su Single Sign On.Click on Single Sign On.

    Configurazione di Jamf Pro

  6. Nella pagina Single Sign-On eseguire la procedura seguente:On the Single Sign-On page perform the following steps:

    Configurazione di Jamf Pro

    a.a. Selezionare Enable Single Sign-On Authentication (Abilita autenticazione Single Sign-On).Check the Enable Single Sign-On Authentication.

    b.b. Selezionare Other (Altro) come opzione nell'elenco a discesa IDENTITY PROVIDER (PROVIDER DI IDENTITÀ).Select Other as an option from the IDENTITY PROVIDER dropdown.

    c.c. Nella casella di testo OTHER PROVIDER (ALTRO PROVIDER) immettere Azure AD.In the OTHER PROVIDER textbox, enter Azure AD.

    d.d. Copiare il valore di ENTITY ID (ID entità) e incollarlo nella casella di testo Identificatore (ID entità) nella sezione Configurazione SAML di base del portale di Azure.Copy the ENTITY ID value and paste it into the Identifier (Entity ID) textbox in Basic SAML Configuration section on Azure portal.

    Nota

    Nella parte <SUBDOMAIN> è necessario usare questo valore per completare l'URL di accesso e l'URL di accesso e l'URL di risposta nella sezione Configurazione SAML di base del portale di Azure.Here <SUBDOMAIN> part, you need to use this value to complete the Sign-on URL and Reply URL in the Basic SAML Configuration section on Azure portal.

    e.e. Selezionare Metadata URL (URL metadati) come opzione nell'elenco a discesa IDENTITY PROVIDER METADATA SOURCE (ORIGINE METADATI DEL PROVIDER DI IDENTITÀ), incollare il valore dell'URL dei metadati di federazione dell'app copiato dal portale di Azure.Select Metadata URL as an option from the IDENTITY PROVIDER METADATA SOURCE dropdown and in the following textbox, paste the App Federation Metadata Url value which you have copied from the Azure portal.

  7. Nella stessa pagina scorrere fino alla sezione User Mapping (Mapping utente) e seguire questa procedura:On the same page scroll down up to User Mapping section and perform the following steps:

    Single Sign-On di Jamf Pro

    a.a. Selezionare l'opzione NameID (ID nome) per IDENTITY PROVIDER USER MAPPING (MAPPING UTENTE DEL PROVIDER DI IDENTITÀ).Select the NameID option for IDENTITY PROVIDER USER MAPPING. Per impostazione predefinita, questa impostazione corrisponde a NameID (ID nome), ma è possibile definire un attributo personalizzato.By default, this setting is set to NameID but you may define a custom attribute.

    b.b. Selezionare Email (Posta elettronica) per JAMF PRO USER MAPPING (MAPPING UTENTE DI JAMF PRO).Select Email for JAMF PRO USER MAPPING. Jamf Pro esegue il mapping degli attributi SAML inviati dal provider di identità nei modi seguenti: per utenti e per gruppi.Jamf Pro maps SAML attributes sent by the IdP in the following ways: by users and by groups. Se un utente prova ad accedere a Jamf Pro, per impostazione predefinita Jamf Pro ottiene informazioni sull'utente dal provider di identità e cerca una corrispondenza tra i propri account utente.When a user tries to access Jamf Pro, by default Jamf Pro gets information about the user from the Identity Provider and matches it against Jamf Pro user accounts. Se l'account utente in ingresso non esiste in Jamf Pro, cerca una corrispondenza tra i nomi di gruppo.If the incoming user account does not exist in Jamf Pro, then group name matching occurs.

    c.c. Incollare il valore http://schemas.microsoft.com/ws/2008/06/identity/claims/groups nella casella di testo IDENTITY PROVIDER GROUP ATTRIBUTE NAME (NOME ATTRIBUTO GRUPPO DEL PROVIDER DI IDENTITÀ).Paste the value http://schemas.microsoft.com/ws/2008/06/identity/claims/groups in the IDENTITY PROVIDER GROUP ATTRIBUTE NAME textbox.

    d.d. Se si seleziona Allow users to bypass the Single Sign-On authentication (Consenti agli utenti di ignorare l'autenticazione Single Sign-On) gli utenti non vengono reindirizzati alla pagina di accesso del provider di identità per l'autenticazione, ma possono accedere direttamente a Jamf Pro.By selecting Allow users to bypass the Single Sign-On authentication users will not be redirected to the Identity Provider sign page for authentication, but can sign in to Jamf Pro directly instead. Se un utente prova ad accedere a Jamf Pro tramite il provider di identità, l'autenticazione SSO e l'autorizzazione vengono avviate dal provider di identità.When a user tries to access Jamf Pro via the Identity Provider, IdP-initiated SSO authentication and authorization occurs.

    e.e. Fare clic su Save.Click Save.

Creare l'utente di test di Jamf ProCreate Jamf Pro test user

Per consentire agli utenti di Azure AD di accedere a Jamf Pro, è necessario effettuarne il provisioning in Jamf Pro.To enable Azure AD users to sign in to Jamf Pro, they must be provisioned into Jamf Pro. Nel caso di Jamf Pro, il provisioning è un'attività manuale.In the case of Jamf Pro, provisioning is a manual task.

Per eseguire il provisioning di un account utente, seguire questa procedura:To provision a user account, perform the following steps:

  1. Accedere al sito aziendale di Jamf Pro come amministratore.Sign in to your Jamf Pro company site as an administrator.

  2. Fare clic sull'icona Settings (Impostazioni) nell'angolo superiore destro della pagina.Click on the Settings icon from the top right corner of the page.

    Aggiungere un dipendente

  3. Fare clic su Jamf Pro User Accounts & Groups (Gruppi e account utente di Jamf Pro).Click on Jamf Pro User Accounts & Groups.

    Aggiungere un dipendente

  4. Fare clic su Nuovo.Click New.

    Aggiungere un dipendente

  5. Fare clic su Create Standard Account (Crea account standard).Select Create Standard Account.

    Aggiungere un dipendente

  6. Nella finestra di dialogo New Account (Nuovo account) seguire questa procedura:On the New Account dailog, perform the following steps:

    Aggiungere un dipendente

    a.a. Nella casella di testo USERNAME (NOME UTENTE) digitare il nome e cognome BrittaSimon.In the USERNAME textbox, type the full name of BrittaSimon.

    b.b. Selezionare le opzioni appropriate per l'organizzazione per ACCESS LEVEL (LIVELLO DI ACCESSO), PRIVILEGE SET (SET DI PRIVILEGI) e ACCESS STATUS (STATO ACCESSO).Select appropriate options as per your organization for ACCESS LEVEL, PRIVILEGE SET, and for ACCESS STATUS.

    c.c. Nella casella di testo FULL NAME (NOME COMPLETO) digitare il nome e cognome di Britta Simon.In the FULL NAME textbox, type the full name of Britta Simon.

    d.d. Nella casella di testo EMAIL ADDRESS (INDIRIZZO DI POSTA ELETTRONICA) digitare l'indirizzo di posta elettronica dell'account di Britta Simon.In the EMAIL ADDRESS textbox, type the email address of Britta Simon account.

    e.e. Nella casella di testo PASSWORD digitare la password per l'utente.In the PASSWORD textbox, type the password of the user.

    f.f. Nella casella di testo VERIFY PASSWORD (VERIFICA PASSWORD) digitare la password per l'utente.In the VERIFY PASSWORD textbox, type the password of the user.

    g.g. Fare clic su Save.Click Save.

Testare l'accesso SSOTest SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD usando il pannello di accesso.In this section, you test your Azure AD single sign-on configuration using the Access Panel.

Quando si fa clic sul riquadro di Jamf Pro nel pannello di accesso, si dovrebbe accedere automaticamente all'istanza di Jamf Pro per cui si è configurato l'accesso SSO.When you click the Jamf Pro tile in the Access Panel, you should be automatically signed in to the Jamf Pro for which you set up SSO. Per altre informazioni sul pannello di accesso, vedere Introduzione al Pannello di accesso.For more information about the Access Panel, see Introduction to the Access Panel.

Risorse aggiuntiveAdditional resources