• Startseite
• App-Integrationen
• MFA-Integrationen
• (2FA/MFA) für Jamf Connect

Wie aktiviere ich die Zwei-Faktor-Authentifizierung (2FA/MFA) für Jamf Connect?

---

Jamf Connect 2FA (Zwei-Faktor-Authentifizierung) oder Multi-Faktor-Authentifizierung (MFA) ist eine zusätzliche Sicherheitsebene, bei der ein Benutzer oder ein Mitarbeiter einer Organisation zwei Faktoren angeben muss, um Zugriff auf das Jamf Connect-Konto zu erhalten. Mit Jamf Connect TFA Wenn aktiviert, muss jeder, der versucht, sich von einem nicht erkannten Computer/Gerät aus bei Ihrem Jamf Connect-Konto anzumelden, eine zusätzliche Authentifizierung durchführen. Die Authentifizierung beginnt damit, dass ein Benutzer seinen herkömmlichen Benutzernamen und sein Passwort eingibt. Sobald der Benutzer erfolgreich mit der Überprüfung im ersten Schritt authentifiziert wurde, konfiguriert 2FA (OTP über SMS, Push-Benachrichtigungen, YubiKey, TOTP, Google Authenticator usw.) Methode fordert zur Überprüfung im zweiten Schritt auf. Nach erfolgreicher Authentifizierung mit beiden Schritten erhält ein Benutzer Zugriff auf das Jamf Connect-Konto. Diese zusätzliche Ebene verhindert, dass unbefugte Personen auf die Ressourcen zugreifen, selbst wenn Cyber-Angreifer Ihre Anmeldeinformationen kennen.

miniorange bietet Mehr als 15 Authentifizierungsmethoden und Lösungen für verschiedene Anwendungsfälle. Es ermöglicht Benutzern und Organisationen, bestimmte Authentifizierungen und Einstellungen einzurichten, darunter Passwortbeschränkungen, Einschränkung der Anmeldemethoden, sowie andere Sicherheitseinstellungen. miniorange macht auch Platz für Authentifizierungs-Apps, die zeitbasierte Einmalkennwörter (TOTP) unterstützen: Google Authenticator, Microsoft Authenticator, die 2-Faktor-Authentifizierungs-App Authy und unsere eigene miniorange Authenticator-App.

Voraussetzungen zum Aktivieren von MFA bei der normalen Mac-Anmeldung:

• JAMF Connect-Anmeldung
• JAMF Connect-Konfiguration

Befolgen Sie die Schritt-für-Schritt-Anleitung zum Einrichten von MFA mit der JAMF Connect-Konfiguration.

1. Jamf Connect in miniOrange konfigurieren

• Melden Sie sich bei miniOrange an Admin-Konsole.
• Zurück Nach Apps und klicken Sie auf Anwendung hinzufügen .



• Auswählen OAuth/OpenID als Anwendungstyp von Alle Apps Dropdown-Liste.



• Suchen Sie nach Jamf Connect Wenn Sie Jamf Connect nicht in der Liste finden, suchen Sie nach OAuth2/OpenID Connect und Sie können Ihre Anwendung einrichten über OAuth2/OpenID Connect.



• Geben Sie auf der Registerkarte „Basis“ die folgenden Details ein:

Grundlegende Registerkarten	Beschreibung
Display Name	Geben Sie die Display Name (d. h. der Name dieser Anwendung).
URL umleiten	Kopieren Sie die Weiterleitungs-URL Sie erhalten diese URL von der Jamf Connect-Anwendung. Diese URL wird Ihnen beim Erstellen einer Anwendung in der Jamf Connect-Administrationskonsole angezeigt.
Kunden-ID	Sie finden das Kunden-ID indem Sie wie unten gezeigt auf das Symbol klicken.
Kundengeheimnis	Sie finden das Kundengeheimnis indem Sie wie unten gezeigt auf das Symbol klicken.
Beschreibung (optional)	Fügen Sie bei Bedarf eine Beschreibung hinzu.
App-Logo hochladen (optional)	Laden Sie ein App-Logo hoch (optional). Die App wird im Endbenutzer-Dashboard mit dem hier konfigurierten Logo angezeigt.




• Klicken Sie auf Gespeichert.
• Sie werden zum. Weitergeleitet Richtlinien .



• Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Das Modal-Fenster wird sich öffnen.
  • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
  
  
  
  • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
  • Geben Sie den Gruppennamen ein und klicken Sie auf Gruppe erstellen.
  
  
  
  • Klicken Sie auf Weiter.
  • Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
  • Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
  • Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) , Adaptive Authentifizierung, wenn benötigt.
  • Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.
  • Wenn Sie auswählen Magische Verbindung Als Anmeldemethode stehen folgende Optionen zur Verfügung:
  • Anmeldung von anderen IP-Adressen aktivieren: Wenn diese Option aktiviert ist, können Benutzer den Magic Link von einer anderen IP-Adresse aus öffnen als derjenigen, von der er angefordert wurde.
  • Anmeldung von anderen Geräten aktivieren: Wenn diese Option aktiviert ist, können Benutzer den Magic Link auf einem anderen Gerät öffnen als dem, mit dem er angefordert wurde.



• Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
• Sobald die Richtlinie erfolgreich hinzugefügt wurde, wird sie in der Liste angezeigt.



• Sie können an der go Erweitert , um andere Einstellungen zu ändern, z. B. die Ablaufzeit für Zugriffs-, JWT- und Aktualisierungstoken.
1. Ablauf des Zugriffstokens: Wie lange der bereitgestellte Zugriffstoken ab Erstellung gültig sein soll. [In Stunden] Nach Ablauf muss ein neuer Zugriffstoken generiert werden.
2. Ablauf des JWT-Tokens: Wie lange das generierte JWT-Token gültig sein soll. [In Stunden]
3. Ablauf des Aktualisierungstokens:Wie lange das generierte Aktualisierungstoken gültig sein soll. [In Tagen] Sie müssen nach der angegebenen Anzahl von Tagen ein neues Aktualisierungstoken generieren.
4. Gemeinsame Identität aktivieren: Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.



• Wechseln Sie auf die Anmeldeoptionen Tab.

  Primärer Identitätsanbieter	Wählen Sie die Standard-ID-Quelle aus der Dropdown-Liste für die Anwendung. Andernfalls wird den Benutzern der Standard-Anmeldebildschirm angezeigt und sie können ihren eigenen IDP auswählen. [Wählen Sie in diesem Fall miniOrange.]
  SSO-Flows	Wählen Sie den gewünschten SSO-Flow aus der Dropdown-Liste aus, z. B. miniOrange als IDP, miniOrange als Brokerden miniOrange als Broker mit Discovery Flow.
  Auf dem Endbenutzer-Dashboard anzeigen	Aktivieren Sie diese Option, wenn Sie diese App im Endbenutzer-Dashboard anzeigen möchten.
  Authentifizierung erzwingen	Wenn Sie diese Option aktivieren, müssen sich Benutzer jedes Mal anmelden, auch wenn ihre Sitzung bereits besteht.
  Erlaubte Abmelde-URIs	Klicken Sie auf den Link „Zulässige Abmelde-URIs“, um eine Liste mit Weiterleitungs-URIs nach der Abmeldung hinzuzufügen. Benutzer werden nach einer erfolgreichen Abmeldung von miniOrange zu einer dieser URIs weitergeleitet.
  Single Logout aktiviert	Aktivieren Sie diese Option, um beim Abmelden von dieser App Abmeldeanforderungen an andere Anwendungen zu senden.
  Anmelde-URL	Sie können Benutzerattribute in die Anmelde-URL aufnehmen, indem Sie Platzhalter wie {{username}}, {{primaryEmail}}, {{customAttribute1}} usw. verwenden. Diese Platzhalter werden während des vom IdP initiierten SSO-Flows dynamisch durch die tatsächlichen Benutzerwerte ersetzt. Sie können eine URL mit den folgenden Attributen generieren: Benutzername, primäre E-Mail-Adresse, alternative E-Mail-Adresse, Vorname, Name, primäre Telefonnummer und benutzerdefiniertes Attribut1. Die URL könnte so lauten login.com/{{username}}/?primaryEmail={{primaryEmail}} Abfrageparameterformat: https://<sso-url>>?username={{username}} https://<sso-url>>?username={{username}}&email={{primaryEmail}} Pfadparameterformat: https://<sso-url>>/{{customAttribute1}}/{{customAttribute2}}/?username={{username}}

• Erforderliche App-Details abrufen / App-Informationen aktualisieren:
• Sie können die Anwendung mit den folgenden Schritten bearbeiten:
• Gehen Sie zur Apps.
• Suchen Sie in der Liste der konfigurierten Apps die von Ihnen erstellte App. Klicken Sie auf das ( ⋮ ) Symbol neben der App und wählen Sie das Bearbeiten .



• Klicken Sie auf die OAuth-Endpunkte Abschnitt im Aktionsmenü für Ihre App, um die Endpunkte für Autorisierung, Token und Benutzerinformationen abzurufen.




OAuth-Endpunkte:

Autorisierungsendpunkt:	https://login.xecurify.com/moas/idp/openidsso (Hinweis: Verwenden Sie diesen Endpunkt nur, wenn Sie Miniorange als OAuth-Identitätsserver verwenden möchten.) https://login.xecurify.com/moas/broker/login/oauth/260174 (Hinweis: Verwenden Sie diesen Endpunkt nur, wenn Sie einen Identitätsanbieter im Menü „Identitätsanbieter“ konfigurieren und miniorange nicht als IDP verwenden.)
Token-Endpunkt:	https://login.xecurify.com/moas/rest/oauth/token
Benutzerinfo-Endpunkt:	https://login.xecurify.com/moas/rest/oauth/getuserinfo
Endpunkt der Selbstbeobachtung:	https://login.xecurify.com/moas/rest/oauth/introspect
Endpunkt widerrufen:	https://login.xecurify.com/moas/rest/oauth/revoke
OpenID Single Logout-Endpunkt:	https://login.xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri=






OAuth-Bereiche

E-Mail:	E-Mail-Adresse des Benutzers anzeigen
Profil :	Profilattribute des Benutzerkontos anzeigen
geöffnete ID:	JWT-Token für OpenID Connect abrufen




• Klicken Sie auf Gespeichert.

2. JAMF Connect konfigurieren

• Öffne JAMF Connect-Anwendung in den Anwendungen zur Erstellung eines Konfigurationsprofil (Ein Konfigurationsprofil enthält Details zu Ihrem Identitätsanbieter, bei dem Ihre Benutzerauthentifizierung erfolgen muss.)
• Wählen Maßgeschneidert im Identitätsprovider und Fügen Sie die OIDC-ID ein wir haben es aus den MiniOrange-Einstellungen erhalten.
• Geben Sie denselben Wert in die ROPG-Client-ID ein.
• Geben Sie das Client-Geheimnis ein, das wir von miniOrange erhalten haben.
• Geben Sie die Discovery-URL in das Feld Discovery-URL ein.
• Geben Sie im Feld „Umleitungs-URL“ ein https://127.0.0.1/jamfconnect



• Geben Sie in den Bereichen keine Werte ein.
• Aktivieren Sie auf der Registerkarte „Anmelden“ die Option „Lokale Authentifizierung zulassen, wenn kein Netzwerk verfügbar ist“. Dadurch erhalten Sie die Option der lokalen Authentifizierung für den Fall, dass der IDP nicht erreichbar ist.



Testen Sie die Konfiguration mit der Schaltfläche oben rechts. Wenn alles einwandfrei funktioniert, speichern Sie diese Konfiguration dann mit der Erweiterung mobileconfig. Dieses Konfigurationsprofil kann auf die Maschinen übertragen werden, auf denen Sie MFA/SSO hinzufügen möchten.

3. Installieren Sie die Konfigurationsdatei und aktivieren Sie die OIDC-Anmeldung:

• Öffnen Sie den Microsoft Store auf Ihrem Windows-PC Konfigurationsdatei Sie mit den obigen Schritten erstellt haben.
• Installieren Sie die Datei, indem Sie die Berechtigungen erteilen




• Sobald die Installation abgeschlossen ist, öffnen Sie das Terminal.
• Zurück Nach /Library/Security/SecurityAgentPlugins/JamfConnectLogin.bundle/Contents/MacOS/ Ort zum Aktivieren der OIDC-Authentifizierung mit der regulären Authentifizierung.
• Führen Sie den Befehl aus Authchanger -OIDC

4. Testen Sie die Konfiguration:

• Melden Sie sich ab und versuchen Sie erneut, sich anzumelden. Es wird ein Fenster wie unten geöffnet, das Sie zur Authentifizierung bei miniOrange weiterleitet.
• Geben Sie die IDP-Anmeldeinformationen um sich anzumelden.

Entfernen Sie die OIDC-Authentifizierung (falls erforderlich):

• Wenn die OIDC-Authentifizierung entfernt oder deaktiviert werden muss, werden zusätzliche Schritte bereitgestellt.
• Um die OIDC-Authentifizierung zu deaktivieren und die lokale Authentifizierung wieder zu aktivieren, gehen Sie zu /Library/Security/SecurityAgentPlugins/JamfConnectLogin.bundle/Contents/MacOS/
• Führen Sie den folgenden Befehl aus Authchanger -Zurücksetzen

Externe Referenzen

• Suchen Sie nach einer Jamf Connect SSO-Lösung
• Jamf Connect-Administratorkonsole
• Warum und wie verwenden Sie die Multi-Faktor-Authentifizierung?
• Entdecken Sie die MAC-Lösung für die Multi-Faktor-Authentifizierung