Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Azure Active Directory con Jamf ProTutorial: Azure Active Directory SSO integration with Jamf Pro

Questa esercitazione descrive come integrare Jamf Pro con Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate Jamf Pro with Azure Active Directory (Azure AD). Integrando Jamf Pro con Azure AD, è possibile:When you integrate Jamf Pro with Azure AD, you can:

  • Usare Azure AD per controllare chi può accedere a Jamf Pro.Use Azure AD to control who has access to Jamf Pro.
  • Abilitare gli utenti per l'accesso automatico a Jamf Pro con gli account Azure AD personali.Automatically sign in your users to Jamf Pro with their Azure AD accounts.
  • È possibile gestire gli account in un'unica posizione centrale: il portale di Azure.Manage your accounts in one central location: the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Accesso Single Sign-On alle applicazioni con Azure Active Directory.To learn more about SaaS app integration with Azure AD, see Single sign-on with Azure Active Directory.

PrerequisitiPrerequisites

Per iniziare, sono necessari gli elementi seguenti:To get started, you need the following items:

  • Una sottoscrizione di Azure AD.An Azure AD subscription. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.If you don't have a subscription, you can get a free account.
  • Sottoscrizione di Jamf Pro abilitata per l'accesso Single Sign-On (SSO).A Jamf Pro subscription that's single sign-on (SSO) enabled.

Descrizione dello scenarioScenario description

In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you configure and test Azure AD SSO in a test environment. Jamf Pro supporta l'accesso SSO avviato da SP e IdP.Jamf Pro supports SP-initiated and IdP-initiated SSO.

Per configurare l'integrazione di Jamf Pro in Azure AD, è necessario aggiungere Jamf Pro dalla raccolta all'elenco di app SaaS gestite.To configure the integration of Jamf Pro into Azure AD, you need to add Jamf Pro from the gallery to your list of managed SaaS apps.

  1. Accedere al portale di Azure con un account aziendale o dell'istituto di istruzione oppure con l'account Microsoft personale.Sign in to the Azure portal by using either a work or school account or your personal Microsoft account.
  2. Nel riquadro sinistro selezionare il servizio Azure Active Directory.In the left pane, select the Azure Active Directory service.
  3. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.Go to Enterprise Applications, and then select All Applications.
  4. Per aggiungere una nuova applicazione, selezionare Nuova applicazione.To add a new application, select New application.
  5. Nella sezione Aggiungi dalla raccolta immettere Jamf Pro nella casella di ricerca.In the Add from the gallery section, enter Jamf Pro in the search box.
  6. Selezionare Jamf Pro nel pannello dei risultati e quindi aggiungere l'app.Select Jamf Pro from results panel, and then add the app. Attendere alcuni secondi che l'app venga aggiunta al tenant.Wait a few seconds while the app is added to your tenant.

Configurare e testare l'accesso Single Sign-On di Azure AD per Jamf ProConfigure and test SSO in Azure AD for Jamf Pro

Configurare e testare l'accesso SSO di Azure AD con Jamf Pro usando un utente di test di nome B.Simon.Configure and test Azure AD SSO with Jamf Pro by using a test user called B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Azure AD e l'utente correlato in Jamf Pro.For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in Jamf Pro.

In questa sezione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD con Jamf Pro.In this section, you configure and test Azure AD SSO with Jamf Pro.

  1. Configurare l'accesso Single Sign-On di Azure AD: per consentire agli utenti di usare questa funzionalità.Configure SSO in Azure AD so that your users can use this feature.
    1. Creare un utente di test di Azure AD: per testare l'accesso Single Sign-On di Azure AD con l'account di B.Simon.Create an Azure AD test user to test Azure AD SSO with the B.Simon account.
    2. Assegnare l'utente di test di Azure AD: per consentire a B.Simon di usare l'accesso Single Sign-On di Azure AD.Assign the Azure AD test user so that B.Simon can use SSO in Azure AD.
  2. Configurare l'accesso Single Sign-On in Jamf Pro: per configurare le impostazioni di Single Sign-On sul lato applicazione.Configure SSO in Jamf Pro to configure the SSO settings on the application side.
    1. Creare l'utente di test di Jamf Pro: per avere una controparte di B.Simon in Jamf Pro collegata alla rappresentazione dell'utente in Azure AD.Create a Jamf Pro test user to have a counterpart of B.Simon in Jamf Pro that's linked to the Azure AD representation of the user.
  3. Testare la configurazione dell'accesso Single Sign-On: per verificare se la configurazione funziona.Test the SSO configuration to verify that the configuration works.

Configurare l'accesso Single Sign-On in Azure ADConfigure SSO in Azure AD

In questa sezione si abilita l'accesso Single Sign-On di Azure AD nel portale di Azure.In this section, you enable Azure AD SSO in the Azure portal.

  1. Nella pagina di integrazione dell'applicazione Jamf Pro del portale di Azure individuare la sezione Gestione e selezionare Single Sign-On.In the Azure portal, on the Jamf Pro application integration page, find the Manage section and select Single Sign-On.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.On the Select a Single Sign-On Method page, select SAML.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML selezionare sull'icona della penna relativa a Configurazione SAML di base per modificare le impostazioni.On the Set up Single Sign-On with SAML page, select the pen icon for Basic SAML Configuration to edit the settings.

    Modificare la pagina Configurazione SAML di base.

  4. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti se si vuole configurare l'applicazione in modalità avviata da IDP:On the Basic SAML Configuration section, if you want to configure the application in IdP-initiated mode, enter the values for the following fields:

    a.a. Nella casella di testo Identificatore immettere un URL nel formato seguente: https://<subdomain>.jamfcloud.com/saml/metadataIn the Identifier text box, enter a URL that uses the following formula: https://<subdomain>.jamfcloud.com/saml/metadata

    b.b. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https://<subdomain>.jamfcloud.com/saml/SSOIn the Reply URL text box, enter a URL that uses the following formula: https://<subdomain>.jamfcloud.com/saml/SSO

  5. Selezionare Imposta URL aggiuntivi.Select Set additional URLs. Se si vuole configurare l'applicazione in modalità avviata da SP nella casella di testo URL di accesso immettere un URL nel formato seguente: https://<subdomain>.jamfcloud.comIf you want to configure the application in SP-initiated mode, in the Sign-on URL text box, enter a URL that uses the following formula: https://<subdomain>.jamfcloud.com

    Nota

    Poiché questi non sono i valori reali,These values aren't real. aggiornarli con l'identificatore, l'URL di risposta e l'URL di accesso effettivi.Update these values with the actual identifier, reply URL, and sign-on URL. Si otterrà il valore effettivo dell'identificatore dalla sezione Single Sign-On del portale di Jamf Pro, come illustrato più avanti nell'esercitazione.You'll get the actual identifier value from the Single Sign-On section in Jamf Pro portal, which is explained later in the tutorial. È possibile estrarre il valore effettivo di subdomain dal valore dell'identificatore e usare tali informazioni di subdomain nell'URL di accesso e nell'URL di risposta.You can extract the actual subdomain value from the identifier value and use that subdomain information as your sign-on URL and reply URL. È anche possibile fare riferimento ai formati illustrati nella sezione Configurazione SAML di base del portale di Azure.You can also refer to the formulas shown in the Basic SAML Configuration section in the Azure portal.

  6. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML selezionare il pulsante Copia per copiare l'URL dei metadati di federazione dell'app e salvarlo nel computer in uso.On the Set up Single Sign-On with SAML page, go to the SAML Signing Certificate section, select the copy button to copy App Federation Metadata URL, and then save it to your computer.

    Collegamento al download del certificato di firma SAML

Creare un utente di test di Azure ADCreate an Azure AD test user

In questa sezione viene creato un utente di test di nome B.Simon nel portale di Azure.In this section, you create a test user in the Azure portal called B.Simon.

  1. Nel riquadro sinistro del portale di Azure selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.In the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Selezionare Nuovo utente in alto nella schermata.Select New user at the top of the screen.
  3. In Proprietà utente seguire questa procedura:In the User properties, follow these steps:
    1. Nel campo Nome immettere B.Simon.In the Name field, enter B.Simon.
    2. Nel campo Nome utente immettere [nome]@[dominioaziendale].[estensione].In the User name field, enter [name]@[companydomain].[extension]. Ad esempio: B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Selezionare Create (Crea).Select Create.

Assegnare l'utente di test di Azure ADAssign the Azure AD test user

In questa sezione si concede a B.Simon l'accesso a Jamf Pro.In this section, you grant B.Simon access to Jamf Pro.

  1. Nel portale di Azure selezionare Applicazioni aziendali e quindi Tutte le applicazioni.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. Nell'elenco delle applicazioni selezionare Jamf Pro.In the applications list, select Jamf Pro.

  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.In the app's overview page, find the Manage section and select Users and groups.

    Selezionare Utenti e gruppi

  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.Select Add user, then select Users and groups in the Add Assignment dialog box.

    Selezionare il pulsante Aggiungi utente

  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi selezionare il pulsante Seleziona nella parte inferiore della schermata.In the Users and groups dialog box, select B.Simon from the Users list, and then select the Select button at the bottom of the screen.

  6. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Selezionare un ruolo selezionare il ruolo appropriato per l'utente.If you're expecting any role value in the SAML assertion, in the Select Role dialog box, select the appropriate role for the user. Fare clic sul pulsante Seleziona nella parte inferiore della schermata.Then, select the Select button at the bottom of the screen.

  7. Nella finestra di dialogo Aggiungi assegnazione selezionare il pulsante Assegna.In the Add Assignment dialog box, select the Assign button.

Configurare l'accesso Single Sign-On in Jamf ProConfigure SSO in Jamf Pro

  1. Per automatizzare la configurazione all'interno di Jamf Pro, installare l'estensione del browser My Apps Secure Sign-in selezionando Installa estensione.To automate the configuration within Jamf Pro, install the My Apps Secure Sign-in browser extension by selecting Install the extension.

    Estensione del browser My Apps Secure Sign-in

  2. Dopo aver aggiunto l'estensione al browser, selezionare Configura Jamf Pro.After adding the extension to the browser, select Set up Jamf Pro. Quando si apre l'applicazione Jamf Pro, specificare le credenziali di amministratore per eseguire l'accesso.When the Jamf Pro application opens, provide the administrator credentials to sign in. L'estensione del browser configurerà automaticamente l'applicazione e automatizzerà i passaggi da 3 a 7.The browser extension will automatically configure the application and automate steps 3 through 7.

    Pagina di configurazione in Jamf Pro

  3. Per configurare manualmente Jamf Pro, aprire un'altra finestra del Web browser e accedere al sito aziendale di Jamf Pro come amministratore.To set up Jamf Pro manually, open a new web browser window and sign in to your Jamf Pro company site as an administrator. Seguire quindi questa procedura.Then, take the following steps.

  4. Selezionare l'icona Settings (Impostazioni) nell'angolo in alto a destra nella pagina.Select the Settings icon from the upper-right corner of the page.

    Selezionare l'icona Settings (Impostazioni) in Jamf Pro

  5. Selezionare Single Sign-On.Select Single Sign-On.

    Selezionare Single Sign-On in Jamf Pro

  6. Nella pagina Single Sign-On seguire questa procedura.On the Single Sign-On page, take the following steps.

    Pagina Single Sign-On in Jamf Pro

    a.a. Selezionare la casella di testo Enable Single Sign-On Authentication (Abilita autenticazione Single Sign-On).Select the Enable Single Sign-On Authentication check box.

    b.b. Selezionare Other (Altro) come opzione nell'elenco a discesa IDENTITY PROVIDER (PROVIDER DI IDENTITÀ).Select Other as an option from the IDENTITY PROVIDER drop-down menu.

    c.c. Nel campo OTHER PROVIDER (ALTRO PROVIDER) immettere Azure AD.In the OTHER PROVIDER field, enter Azure AD.

    d.d. Copiare il valore di ENTITY ID (ID ENTITÀ) e incollarlo nel campo Identificatore (ID entità) nella sezione Configurazione SAML di base del portale di Azure.Copy the ENTITY ID value and paste it into the Identifier (Entity ID) field in the Basic SAML Configuration section in the Azure portal.

    Nota

    Usare questo valore nel campo <SUBDOMAIN> per completare l'URL di accesso e l'URL di risposta nella sezione Configurazione SAML di base del portale di Azure.Use the value in the <SUBDOMAIN> field to complete the sign-on URL and reply URL in the Basic SAML Configuration section in the Azure portal.

    e.e. Selezionare Metadata URL (URL metadati) nel menu a discesa IDENTITY PROVIDER METADATA SOURCE (ORIGINE METADATI DEL PROVIDER DI IDENTITÀ).Select Metadata URL from the IDENTITY PROVIDER METADATA SOURCE drop-down menu. Nel campo visualizzato incollare il valore dell'URL dei metadati di federazione dell'app copiato dal portale di Azure.In the field that appears, paste the App Federation Metadata Url value that you've copied from the Azure portal.

  7. Nella stessa pagina scorrere fino alla sezione User Mapping (Mapping utente).On the same page, scroll down to the User Mapping section. Seguire quindi questa procedura.Then, take the following steps.

    Sezione User Mapping (Mapping utente) della pagina Single Sign-On in Jamf Pro.

    a.a. Selezionare l'opzione NameID (ID nome) per IDENTITY PROVIDER USER MAPPING (MAPPING UTENTE DEL PROVIDER DI IDENTITÀ).Select the NameID option for IDENTITY PROVIDER USER MAPPING. Per impostazione predefinita, questa opzione è impostata su NameID (ID nome), ma è possibile definire un attributo personalizzato.By default, this option is set to NameID, but you can define a custom attribute.

    b.b. Selezionare Email (Posta elettronica) per JAMF PRO USER MAPPING (MAPPING UTENTE DI JAMF PRO).Select Email for JAMF PRO USER MAPPING. Jamf Pro esegue il mapping degli attributi SAML inviati dall'IdP prima per utenti e poi per gruppi.Jamf Pro maps SAML attributes sent by the IdP first by users and then by groups. Se un utente prova ad accedere a Jamf Pro, l'applicazione recupera le informazioni sull'utente dal provider di identità e cerca una corrispondenza tra tutti gli account utente.When a user tries to access Jamf Pro, Jamf Pro gets information about the user from the Identity Provider and matches it against all Jamf Pro user accounts. Se l'account utente in ingresso non viene trovato, Jamf Pro cerca una corrispondenza in base al nome del gruppo.If the incoming user account isn't found, then Jamf Pro attempts to match it by group name.

    c.c. Incollare il valore http://schemas.microsoft.com/ws/2008/06/identity/claims/groups nel campo IDENTITY PROVIDER GROUP ATTRIBUTE NAME (NOME ATTRIBUTO GRUPPO DEL PROVIDER DI IDENTITÀ).Paste the value http://schemas.microsoft.com/ws/2008/06/identity/claims/groups in the IDENTITY PROVIDER GROUP ATTRIBUTE NAME field.

    d.d. Selezionare Allow users to bypass the Single Sign-On authentication (Consenti agli utenti di ignorare l'autenticazione Single Sign-On).Select Allow users to bypass the Single Sign-On authentication. In questo modo, gli utenti non vengono reindirizzati alla pagina di accesso del provider di identità per l'autenticazione e possono accedere direttamente a Jamf Pro.As a result, users won't be redirected to the Identity Provider sign-in page for authentication and can sign in to Jamf Pro directly instead. Se un utente prova ad accedere a Jamf Pro tramite il provider di identità, l'autenticazione SSO e l'autorizzazione vengono avviate dal provider di identità.When a user tries to access Jamf Pro via the Identity Provider, IdP-initiated SSO authentication and authorization occurs.

    e.e. Selezionare Salva.Select Save.

Creare un utente di test di Jamf ProCreate a Jamf Pro test user

Per consentire agli utenti di Azure AD di accedere a Jamf Pro, è necessario effettuarne il provisioning in Jamf Pro.In order for Azure AD users to sign in to Jamf Pro, they must be provisioned in to Jamf Pro. Nel caso di Jamf Pro il provisioning è un'attività manuale.Provisioning in Jamf Pro is a manual task.

Per effettuare il provisioning di un account utente, seguire questa procedura:To provision a user account, take the following steps:

  1. Accedere al sito aziendale di Jamf Pro come amministratore.Sign in to your Jamf Pro company site as an administrator.

  2. Selezionare l'icona Impostazioni nell'angolo superiore destro della pagina.Select the Settings icon in the upper-right corner of the page.

    Icona Settings (Impostazioni) in Jamf Pro

  3. Selezionare Jamf Pro User Accounts & Groups (Gruppi e account utente di Jamf Pro).Select Jamf Pro User Accounts & Groups.

    Icona Jamf Pro User Accounts & Groups (Gruppi e account utente di Jamf Pro) nelle impostazioni di Jamf Pro

  4. Selezionare Nuovo.Select New.

    Pagina delle impostazioni del sistema per Jamf Pro User Accounts & Groups (Gruppi e account utente di Jamf Pro)

  5. Fare clic su Create Standard Account (Crea account standard).Select Create Standard Account.

    Opzione Create Standard Account (Crea account standard) nella pagina Jamf Pro User Accounts & Groups (Gruppi e account utente di Jamf Pro)

  6. Nella finestra di dialogo New Account (Nuovo account) seguire questa procedura.On the New Account dialog box, take the following steps.

    Opzioni di configurazione del nuovo account nelle impostazioni di sistema di Jamf Pro

    a.a. Nel campo USERNAME (NOME UTENTE) immettere Britta Simon, il nome completo dell'utente di test.In the USERNAME field, enter Britta Simon, the full name of the test user.

    b.b. Selezionare le opzioni per ACCESS LEVEL (LIVELLO DI ACCESSO), PRIVILEGE SET (SET DI PRIVILEGI) e ACCESS STATUS (STATO ACCESSO) conformemente all'organizzazione.Select the options for ACCESS LEVEL, PRIVILEGE SET, and ACCESS STATUS that are in accordance with your organization.

    c.c. Nel campo FULL NAME (NOME E COGNOME) immettere Britta Simon.In the FULL NAME field, enter Britta Simon.

    d.d. Nel campo EMAIL ADDRESS (INDIRIZZO DI POSTA ELETTRONICA) immettere l'indirizzo di posta elettronica dell'account di Britta Simon.In the EMAIL ADDRESS field, enter the email address of Britta Simon's account.

    e.e. Nel campo PASSWORD immettere la password dell'utente.In the PASSWORD field, enter the user's password.

    f.f. Nel campo VERIFY PASSWORD (VERIFICA PASSWORD) digitare nuovamente la password dell'utente.In the VERIFY PASSWORD field, enter the user's password again.

    g.g. Selezionare Salva.Select Save.

Testare la configurazione dell'accesso Single Sign-OnTest the SSO configuration

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD usando il pannello di accesso.In this section, you test your Azure AD single sign-on configuration by using the Access Panel.

Quando si seleziona il riquadro di Jamf Pro nel pannello di accesso, si dovrebbe accedere automaticamente all'account di Jamf Pro per cui si è configurato l'accesso SSO.When you select the Jamf Pro tile in the Access Panel, you should be automatically signed in to the Jamf Pro account for which you configured SSO. Per altre informazioni sul pannello di accesso, vedere Introduzione al Pannello di accesso.For more information about the Access Panel, see Introduction to the Access Panel.

Risorse aggiuntiveAdditional resources