Incluindo um gerenciador de dispositivos Jamf

Editar online

Configure o Jamf® como seu gerenciador de dispositivos.

Antes de começar

Nota: os locatários globais do mtlsidaas para gerenciadores de dispositivos agora foram descontinuados e serão removidos após março de 2024 Acesse Obtenção de um nome de host personalizado para solicitar um domínio personalizado. Para obter mais informações, consulte Adicionar um gerenciador de dispositivos.
  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console de administração IBM Verify como um Administrador.

Sobre esta tarefa

Observação: se você estiver usando MacOS® o Safari, poderá encontrar um problema em que não será solicitado que você insira os certificados de cliente emitidos pelo gerenciador de dispositivos Jamf. Para resolver o problema, deve-se configurar a preferência de identidade do MacOS Keychain.
  1. Em seu sistema Mac, acesse Acesso ao Keychain
  2. Inclua uma Preferência de identidade para o certificado de cliente.
  3. Configure o local de preferência de identidade para URL de autenticação do locatário + (espaço) + (com.apple.Safari). Por exemplo, https://{mtls_enabled_tenant_name}/usc.
A preferência de identidade agora se encontra em Acesso ao Chaveiro > login > Todos os itens e a solicitação de certificado funciona corretamente.

Procedimento

  1. Selecione Autenticação > Gerenciadores de dispositivos.
  2. Selecione Adicionar gerenciador de dispositivos.
  3. Selecione o JAMF como o tipo de gerenciador de dispositivos que você deseja configurar.
  4. Selecione Próximo.
  5. Na página Configurações gerais , forneça as informações a seguir.
    • Insira o Nome do Gerenciador de Dispositivos no campo fornecido
    • Selecione o Provedor de identidade no menu.
    • Selecione o tipo de confiança no menu. Para a seleção de confiança do dispositivo, os usuários precisam fazer login com seu mecanismo de autenticação de primeiro fator configurado. A confiança do dispositivo apenas confirma se a autenticação é feita a partir de um dispositivo gerenciado ou não.
      Observação: o recurso Device Trust (Confiança do dispositivo) CI-114829 pode ser ativado mediante solicitação. Para solicitar esse recurso, entre em contato com seu representante de vendas da IBM ou com um contato da IBM e indique seu interesse em habilitar essa funcionalidade. Crie um ticket de suporte se tiver permissão. IBM Verify As assinaturas de avaliação não podem criar tickets de suporte.
    • Selecione se o fornecimento JIT (just-in-time) deve ser ativado para contas do usuário.
      Observação: o provisionamento Just-in-Time (JIT) para contas de usuário só é aplicável no caso da seleção de confiança do usuário e do dispositivo.
    • Selecione o período de validade do certificado do cliente. Por padrão, a seleção é de 3 anos.
    • Especifique o número máximo de certificados para cada dispositivo.
    • Especifique quantos minutos as informações do usuário e do dispositivo são mantidas.
  6. Selecione Próximo.
  7. Na página Credenciamento de API , insira os detalhes da API de sua aplicação em Jamf.
    1. Forneça seu nome do usuário e a senha para se conectar-se à API do Jamf.
    2. Deixe a caixa de seleção Sincronizar informações sobre o dispositivo selecionada
    3. Forneça o nome do seu locatário.
    4. Selecione Unique user identifier em uma lista predefinida de atributos ou selecione Regra Customizada para especificar mapeamentos de atributos.
      Se você selecionar para usar uma regra customizada, poderá incluir atributos customizados e uma regra. Digite a regra para calcular o valor de atributo. Por exemplo,
      requestContext.email[0].split('@')[0]
      Nota: requestContext e idsuser são preenchidos com os atributos de certificado de cliente a seguir, se disponíveis:

      subjectCN, subjectDN, subjectO, subjectOU, subjectC, subjectL, subjectST, subjectE, subjectUid, subjectAlternativeNameEmail.

      Observação: a seleção de regras personalizadas não se aplica à confiança do dispositivo. No entanto, você pode inserir o atributo apropriado no campo fornecido.
      Clique em Executar teste para assegurar que a regra funcione.
    5. Selecione o local de ID do usuário no menu.
    6. Selecione credenciais de teste para verificar suas credenciais.
  8. Clique em Avançar.
  9. Na página Propriedades do usuário (aberta no caso da seleção de confiança do usuário e do dispositivo) ou Propriedades do dispositivo (aberta no caso da seleção de confiança do dispositivo), mapeie os atributos do gerenciador de dispositivos para IBM Verify os atributos.
    1. Selecione o atributo de gerenciador de dispositivos,
    2. Opcional: Selecione uma transformação no menu.
    3. Obrigatório: selecione o Verify atributo ao qual deseja mapear o atributo.
    4. Selecione como você deseja armazenar o atributo no perfil do usuário.
  10. Opcional: Clique em Adicionar atributos.
    Se você selecionar para usar uma regra customizada, será possível incluir atributos customizados um por vez e uma regra. Digite a regra para calcular o valor de atributo. Por exemplo,
    idsuser.email[0].split('@')[0]
    Clique em Executar teste para assegurar que a regra funcione.
  11. Clique em OK.
  12. Clique em Avançar.
  13. Crie o perfil de certificado raiz.
    Siga as instruções fornecidas.
    1. Baixe os seguintes arquivos raiz e certificados intermediários .zip que são fornecidos.
    2. Faça login no portal Jamf e selecione Computadores.
    3. Selecione Profiles de Configuração e selecione o perfil de configuração e selecione Editar. Se o perfil não existir, você deverá criar um.
    4. Selecione Certificado no menu de navegação do perfil.
    5. Para criar um certificado raiz, selecione Configurar ou o botão da ferramenta + .
    6. Nomeie o certificado raiz, por exemplo JAMF_RootCA_Cert).
    7. Faça O Upload do perfil do certificado raiz que você baixou na etapa a.
    8. Selecione Salvar
    9. Repita as etapas b-h para o certificado intermediário.
  14. Selecione Próximo.
  15. Na página Perfil do certificado do SCEP , insira os detalhes da API do seu aplicativo.
    • Se você já tiver um perfil de certificado do SCEP, selecione Apenas valores.
      1. Forneça o assunto do SCEP.
      2. Selecione o tipo de desafio.
        Estático
        Digite e confirme um desafio ou uma senha.
        Dinâmico
        Complete a página Configuração do Webhook.
      3. Selecione Salvar e continuar.
    • Se você estiver criando um perfil de certificado do SCEP, selecione Mostrar com etapas e siga as instruções.
      1. Efetue login no portal Jamf e selecione Computadores.
      2. Selecione Perfis de configuração e selecione o perfil de configuração e selecione Editar.
      3. Selecione SCEP no menu de navegação do perfil.
      4. Para criar um certificado SCEP, selecione Configurar ou o botão +.
      5. Use as seguintes definições de configuração:
        Nome
        SCEP_CERTIFICATE.
        Redistribuir perfil
        3 dias.
        Assunto
        Use o valor Assunto que é fornecido pelo seu inquilino Verify . Por exemplo, CN=$EMAIL::,OU=v::v1,OU=d::$JSSID,OU=r::cloudIdentityRealm,O=mdm::isvdev.jamfcloud.com
        Nome alternativo do assunto
        Nenhum.
        Tipo de desafio
        Estático
        Digite e confirme um desafio ou uma senha.
        Dinâmico
        Complete a página Configuração do Webhook.
        Novas tentativas
        3.
        Atraso da nova tentativa
        10.
        Tamanho da chave (bits)
        2048.
        Limite de notificação de expiração do certificado
        14.
        Usar como assinatura digital
        Selecionado.
        Usar para codificação de chave
        Selecionado.
        URLs do servidor SCEP
        Use o valor URL do SCEP fornecido pelo seu locatário Verify.
      6. Selecione Salvar.
      7. Selecione Salvar e continuar.
    Se você selecionou para usar uma senha dinâmica, conclua a próxima etapa. Se você selecionou para usar uma senha estática, pule para Definir os escopos.
  16. Forneça as informações de configuração do Webhook
    1. No locatário Jamf, navegue até Configurações > Webhooks.
    2. Crie um novo webhook.
    3. Use as definições de configuração a seguir.
      Nome de exibição
      Forneça um nome de exibição válido.
      Ativado
      Selecione a caixa de seleção.
      Tipo de autenticação
      Autenticação básica

      Forneça o nome de usuário, senha e verifique a senha.

      Tempo Limite da Conexão
      Defina-o ou deixe-o com os valores padrão.
      Tempo Limite de Leitura
      Defina-o ou deixe-o com os valores padrão.
      Tipo de conteúdo
      JSON
      Evento do Webhook
      Selecione SCEPChallenge.
    4. Salve a configuração.
    5. Clique em Salvar e continuar.
  17. Configure os escopos.
    Siga as instruções.
    1. Faça login no portal Jamf e selecione Computadores.
    2. Selecione Profiles de Configuração e selecione o perfil de configuração e selecione Editar.
    3. Selecione Escopo > Editar.
    4. Sob a seção Destinos de Implementação Selecionados , inclua os computadores, grupos de computadores, usuários, grupos de usuários, prédios e departamentos que você deseja implementar.
    5. Selecione Salvar.
  18. Selecione Próximo.
  19. Teste a configuração.
    Siga as instruções.
  20. Selecione Configuração Completa.
    1. Revise suas configurações.
    2. Selecione Salvar mudanças.