Konfigurieren des Passport-Library Items

Hinweis: Microsoft Entra ID ist der neue Name für Azure AD (Azure Active Directory)

Bitte schauen Sie sich unseren Passport Compatibility Artikel an, um weitere Informationen darüber zu erhalten, wie Passport mit anderen Kandji- und macOS-Funktionen interagiert.

Hinzufügen eines Dokuments in der Passbibliothek

1. Navigieren Sie in der linken Navigationsleiste zu Library Item.

2. Klicken Sie in der oberen rechten Ecke auf Neu hinzufügen.

3. Scrollen Sie zu Registrierungskonfigurationen, und wählen Sie Passport aus.

4. Klicken Sie auf Hinzufügen und konfigurieren.

5. Fügen Sie einen aussagekräftigen Titel hinzu.

6. Klicken Sie auf Blueprint auswählen und weisen Sie einen oder mehrere Blueprints zu, die dieses Bibliothekselement verwenden.

7. Konfigurieren Sie optional Zuweisungsregeln.

8. Konfigurieren Sie die Abschnitte Authentifizierungskonfiguration, Benutzerbereitstellung, Zugriff, Anmeldefenster und Hilfefenster entsprechend Ihrer Umgebung. (Weitere Informationen finden Sie unten.)

9. Klicken Sie auf Speichern.

Konfiguration der Authentifizierung

Wie Sie die Authentifizierung für das Passport- Library Item konfigurieren, hängt davon ab, welchen IdP Sie verwenden.

• Geben Sie für Google Workspace das Zertifikat an, das Sie von Google Workspace heruntergeladen haben. Weitere Informationen finden Sie in unserem Supportartikel zur Passport-Konfiguration mit Google Workspace und fahren Sie dann mit dem Abschnitt User Provisioning dieses Artikels fort.

• Für Microsoft Entra ID, Okta, OneLogin oder einen anderen IdP, der OpenID Connect (OIDC) unterstützt, fahren Sie mit dem Configure OpenID Connect Abschnitt dieses Artikels fort.

Konfigurieren von OpenID Connect (OIDC)

Für Microsoft Entra ID, Okta, OneLogin oder einen anderen IdP, der OpenID Connect (OIDC) verwendet, können Sie Passport so konfigurieren, dass einer der folgenden Authentifizierungsmodi verwendet wird:

• Mac-Anmeldung: Zeigt dem Benutzer die Felder für Benutzername und Kennwort an.

• Web-Login: Zeigt eine Webansicht der Anmeldefelder Ihres IdP an, um Benutzer durch die Bereitstellung eines zusätzlichen Authentifizierungsfaktors zu unterstützen. Zusätzlich wird die Schaltfläche Lokale Anmeldung angezeigt. Wenn Sie Ihren Identitätsanbieter auf OneLogin oder Andere festlegen, müssen Sie eine zusätzliche App konfigurieren, wie weiter unten in diesem Artikel beschrieben.

Wenn Benutzer im Authentifizierungsmodus "Webanmeldung" auf die Schaltfläche "Lokale Anmeldung" klicken, entfernt Passport das Webansichtsfenster und zeigt die Felder für Benutzername und Kennwort sowie eine Schaltfläche für die Webanmeldung an, damit die Benutzer zum Webanmeldemodus zurückkehren können.

Wenn der Passport-Authentifizierungsmodus auf Web Login eingestellt ist, der die Multi-Faktor-Authentifizierung (MFA) unterstützt, müssen sich Benutzer erneut authentifizieren. Wenn FileVault auf "Automatische FileVault-Anmeldung nicht zulassen" und der Passport-Authentifizierungsmodus auf "Web-Anmeldung" eingestellt ist, müssen sich Benutzer nach dem Einschalten eines Geräts oder nach einem Neustart des Geräts insgesamt dreimal authentifizieren.

Sie können das Passport-Bibliothekselement nicht speichern, ohne Werte in die Felder "URL des Identitätsanbieters" und "Client-ID (Kennwortsynchronisierung)" einzugeben.

1. Klicken Sie im Abschnitt Einstellungen im Abschnitt Authentifizierungskonfiguration auf Identitätsanbieter und wählen Sie Ihren IdP aus.

2. Geben Sie die entsprechenden Werte in die Felder "Identitätsanbieter-URL" und "Client-ID (Kennwortsynchronisierung)" ein.

   Stellen Sie sicher, dass Ihre OpenID Connect (OIDC)-Anwendung mit Ihrem kompatiblen Identitätsanbieter (IdP) konfiguriert ist. Sie benötigen die URL Ihres Identitätsanbieters und die OIDC-Anwendungs-ID, um Passport zu konfigurieren. Weitere Informationen zum Konfigurieren bestimmter Identitätsanbieter finden Sie in unseren Supportartikeln zu Microsoft Entra ID (ehemals Azure AD), Okta, Google Workspace und OneLogin .

   Die folgenden Details variieren je nach dem IdP, den Sie im vorherigen Schritt ausgewählt haben. Geben Sie im Feld URL des Identitätsanbieters den bekannten OIDC-Konfigurationsendpunkt des IdP ein. Wie rechts neben dem Feld "URL des Identitätsanbieters" angezeigt, sind folgende gängige Formate:Microsoft Azure:

   Wenn Sie sich bei Ihrer Mandanten-ID nicht sicher sind, befolgen Sie die Anweisungen hier , um sie zu finden.

   https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration

   Okta:

   https://{yourOktaDomain}/.well-known/openid-configuration

   OneLogin:

   https://{subdomain}.onelogin.com/oidc/2/.well-known/openid-configuration

   Andere:

   https://{OIDCDomainURL}/.well-known/openid-configuration

   Geben Sie im Feld Client-ID (Kennwortsynchronisierung) die Client-ID der OIDC-Anwendung ein, die auf der Plattform des Identitätsanbieters konfiguriert ist.

3. Wählen Sie den Authentifizierungsmodus aus. Wenn Sie Richtlinien für die Multifaktor-Authentifizierung (MFA) mit Ihrem IdP konfiguriert haben, wählen Sie Webanmeldung aus, um sie durchzusetzen.

4. Wenn Sie Mac-Anmeldung ausgewählt haben und Ihre IdP-App mit einem geheimen Clientschlüssel konfiguriert ist, geben Sie diesen in das Feld Geheimer Clientschlüssel (optional) ein.

   Wenn Sie Microsoft Azure verwenden, ist der "Geheime Clientschlüssel" der Wert des geheimen Clientschlüssels, nicht die ID des geheimen Clientschlüssels. Die Verwendung der geheimen Client-ID führt zu Anmeldefehlern.

   

5. Wenn Sie Web-Anmeldung ausgewählt haben, zeigt das Bibliothekselement unterschiedliche Optionen für verschiedene Identitätsanbieter an. Wenn Sie Microsoft Azure oder Okta im Feld Identitätsanbieter ausgewählt haben, geben Sie den Umleitungs-URI in das Feld Umleitungs-URI ein. Wenn Sie OneLogin im Feld Identitätsanbieter ausgewählt haben, müssen Sie eine zweite OneLogin-Anwendung konfigurieren, die die POST-Authentifizierungsmethode verwendet, und dann die Informationen aus der zweiten OneLogin-Anwendung in die Felder Client-ID (Webauthentifizierung)", Umleitungs-URI und Geheimer Clientschlüssel eingeben. Wenn Sie im Feld Identitätsanbieter die Option Sonstiges ausgewählt haben, müssen Sie eine zweite OIDC-Anwendung konfigurieren, die die Autorisierungscodegewährung verwendet, und dann die entsprechenden Informationen aus der zweiten OIDC-Anwendung in die Felder Client-ID (Webauthentifizierung) und Umleitungs-URI eingeben. Wenn die zweite OIDC-Anwendung einen geheimen Clientschlüssel verwendet, geben Sie diesen in das Feld Geheimer Clientschlüssel (optional) ein.

Benutzer-Provisioning

Konfigurieren Sie die Einstellungen für die Benutzerbereitstellung, die angewendet werden sollen, wenn sich ein Benutzer zum ersten Mal am Mac anmeldet. Sie können den Standardkontotyp festlegen und festlegen, was zu tun ist, wenn bereits ein Konto vorhanden ist.

Passport verwendet zwei Attribute eines lokalen Mac-Benutzeraccounts (die Sie mit dem Befehl dscl oder der App "Verzeichnisdienstprogramm" anzeigen können):

• dsAttrType:io.kandji.KandjiLogin.LinkedAccount: enthält einen eindeutigen Wert, der für das IdP-Konto spezifisch ist. Dies kann eine Nummer, eine E-Mail-Adresse oder eine eindeutige Kennung sein

• dsAttrType:io.kandji.KandjiLogin.LinkedAccountName: enthält einen Wert aus dem RecordName-Attribut des verknüpften Benutzerkontos, z. B. eine E-Mail-Adresse

Passport fügt dem Attribut "RecordName" auch einen zusätzlichen Wert hinzu, die E-Mail-Adresse des IdP-Kontos.

Wenn Passport einen neuen lokalen Benutzeraccount erstellt, erstellt Passport den lokalen Mac-Account mit den entsprechenden Attributen und Werten.

Wenn Passport mit einem vorhandenen lokalen Benutzerkonto zusammengeführt wird, fügt Passport dem vorhandenen RecordName-Attribut einen Wert hinzu und fügt dem vorhandenen lokalen Benutzerkonto die beiden zusätzlichen Attribute und Werte hinzu.

• Art des BenutzerkontosWenn neue Benutzerkonten erstellt werden, können diese " Administrator" (Standard), "Standard" oder "Pro Identitätsanbietergruppe angeben" sein.

  • Wenn Sie den Benutzerkontotyp "Administrator" oder "Standard" auswählen, überprüft Passport die Berechtigungen eines lokalen Kontos bei der ersten Passport-Anmeldung.

  • Wenn Sie Pro Identitätsanbietergruppe angeben auswählen, um den neuen Kontotyp basierend auf der Mitgliedschaft in der IdP-Gruppe zu konfigurieren:

    • Stellen Sie sicher, dass die Gruppe im Feld "Identitätsanbietergruppe" in Kandji mit der Gruppe in Ihrem IdP übereinstimmt.

      • Verwenden Sie für Microsoft Entra ID basierend auf den Empfehlungen von Microsoft die Entra ID-Gruppe ObjectID anstelle des Gruppennamens.

      • Bei Google Workspace sollte der eingegebene Name das E-Mail-Präfix der Gruppe in Google und nicht der Name der Gruppe sein.

    • Wenn ein Benutzer in einer Gruppe als Administrator und in einer anderen Gruppe als Standardbenutzer festgelegt ist, ist der Kontotyp dieses Benutzers Administrator.

    • Wenn Sie die Option "Pro Identitätsanbietergruppe angeben" verwenden, überprüft Passport die Gruppenmitgliedschaft des Benutzers jedes Mal, wenn sich der Benutzer anmeldet. Passport aktualisiert den Kontotyp des Benutzers, wenn Sie eine Änderung der Gruppenmitgliedschaft oder eine Konfigurationsänderung vornehmen, die dazu führen würde, dass ein Benutzer Folgendes tun würde:

      • Wechsel von einem Standardkonto zu einem Administratorkonto

      • Wechsel von einem Administratoraccount zu einem Standardaccount (diese Änderung zwingt den Benutzer, seinen Mac neu zu starten, um den Benutzeraccount herabzustufen und sicherzustellen, dass die Änderung wirksam ist)

• Bitten Sie um Zusammenführung mit einem lokalen Benutzer Wenn sich ein neuer Benutzer am Mac anmeldet, kann ihm die Option angeboten werden, ihn mit einem vorhandenen Konto zusammenzuführen. Diese Option wird auf dem Mac nur einmal pro Benutzer angezeigt.

  • Nie. Wenn sich ein Benutzer mit seinen IdP-Anmeldedaten anmeldet, erstellt Passport einen neuen Benutzeraccount auf dem Mac, unabhängig von den vorhandenen Accounts. Dies ist die Standardeinstellung.

  • Wenn ein lokaler Benutzername übereinstimmt. Wenn sich ein Benutzer mit seinen IdP-Anmeldedaten am Mac anmeldet, findet Passport automatisch den Mac-Account mit einem übereinstimmenden Benutzernamen und fordert den Benutzer auf, ihn zu migrieren. Der Benutzer hat nicht die Möglichkeit, zu einem anderen Konto zu migrieren.

  • Immer. Wenn sich ein Benutzer mit seinen IdP-Anmeldedaten am Mac anmeldet, fordert Passport den Benutzer auf, einen vorhandenen lokalen Mac-Account auszuwählen, den er migrieren möchte. Dies ist eine gute Option, wenn Sie sich nicht sicher sind, ob die IdP-Accountnamen Ihrer Benutzer mit den Namen der Mac-Accounts übereinstimmen. Wenn Immer ausgewählt ist, werden zwei zusätzliche Optionen angezeigt:

    • Vorhandenes Konto migrieren verhindert lediglich, dass der Benutzer ein neues Mac-Konto erstellt. Sie haben nur die Möglichkeit, ein vorhandenes Konto zu migrieren.

    • Mit der Option Lokale Benutzer ausschließen können Sie Mac-Konten auflisten, die der Benutzer nicht migrieren soll. Ein häufiger Anwendungsfall besteht darin, zu verhindern, dass der Benutzer aufgefordert wird, ein IT-Administrator- oder Dienstkonto zu migrieren.

Passport löscht niemals einen lokalen Mac-Account.

Zugang

Konfigurieren Sie, welche Benutzer sich beim Mac und beim automatischen Anmeldeverhalten von FileVault anmelden können. Unser Artikel Passport & Managing Passwords enthält detaillierte Informationen zur Passwortverwaltung mit Passport.

1. Lokaler Benutzerzugriff

   • Allen lokalen Benutzern die Anmeldung erlauben Ermöglicht allen lokalen Benutzern, sich im Passport-Anmeldefenster am Mac anzumelden. Wenn der Mac mit einem Netzwerk verbunden ist und den IdP erreichen kann, vergleicht Passport die Anmeldedaten des Benutzers mit dem IdP. Wenn der Mac nicht mit einem Netzwerk verbunden ist, kann sich der Benutzer mit den Anmeldedaten seines lokalen Mac-Accounts anmelden. Dies ist die Standardeinstellung.

   • Lokalen Administratoren die Anmeldung erlauben erlaubt nur lokalen Administratoren, sich über das Passport-Anmeldefenster am Mac anzumelden.

   • Wenn Sie festlegen möchten, welche lokalen Benutzer sich anmelden können , können sich nur von Ihnen angegebene Benutzer im Passport-Anmeldefenster am Mac anmelden.

2. Automatische FileVault-Anmeldung

   • Standardmäßig ist die Option Automatische FileVault-Anmeldung zulassen deaktiviert. Dadurch wird sichergestellt, dass dem Benutzer beim Einschalten des Mac das Passport-Anmeldefenster angezeigt wird. Der Benutzer muss sich im FileVault-Anmeldefenster und erneut im Passport-Anmeldefenster anmelden.

   • Wenn Automatische FileVault-Anmeldung zulassen aktiviert ist, melden sich Benutzer nur im FileVault-Anmeldefenster an, sehen das Passport-Anmeldefenster jedoch nur, wenn sie sich abmelden. Das FileVault-Anmeldefenster vergleicht die Anmeldeinformationen nicht mit einem IdP.

3. Benutzerkennwort speichern

   • Passwort sicher speichern: Speichert die IdP-Anmeldeinformationen des Benutzers in einem dedizierten Schlüsselbund auf seinem Mac, um Passwortänderungen zu erleichtern. Wenn der Benutzer sein Passwort mit seinem IdP ändert und sich dann am Mac anmeldet, muss er nur seine neuen Anmeldeinformationen eingeben. Passport aktualisiert das Mac-Passwort im Hintergrund. Wenn ein Benutzer bereits angemeldet ist und sein Passwort beim IdP ändert, fordert Passport ihn innerhalb von 5 Minuten auf, sein lokales Passwort zu aktualisieren, und der Benutzer muss sein lokales Passwort nicht angeben. Sie müssen nur ihr IdP-Passwort eingeben, damit Passport ihr lokales Passwort so ändern kann, dass es mit ihrem IdP-Passwort übereinstimmt. Der Speicherort dieses Schlüsselbunds ist /Library/Keychains/kandji.keychain. Wenn Sie diesen Schlüsselbund entfernen, erstellt Passport automatisch einen neuen Schlüsselbund an diesem Ort und verwendet ihn, ohne dass ein Fehler oder eine Benachrichtigung an den Benutzer generiert wird.

     • Web-Login-Passthrough: Wenn diese Option mit Web Login ausgewählt ist, wird den Benutzern nur bei der ersten Anmeldung ein zusätzlicher Bildschirm zur Passwortbestätigung angezeigt. Der Anmeldevorgang wird nach einer einmaligen Authentifizierung im Web-Login-Fenster bei nachfolgenden Anmeldungen abgeschlossen.

   • Passwort nicht speichern: Wenn diese Option festgelegt ist, überprüft und erzwingt Passport die Kennwortsynchronisierung nur bei der Anmeldung. Wenn ein Benutzer sein Passwort zwischen Anmeldesitzungen ändert, bleibt sein lokales Passwort bis zur nächsten Anmeldung nicht synchronisiert.

Login-Fenster anpassen

Sie können das Passport-Anmeldefenster für Ihre Benutzer anpassen. Klicken Sie auf Anpassen, um die Schublade Anmeldefenster anpassen mit den folgenden Optionen anzuzeigen:

1. Branding

   • Logo anzeigen: Wenn Sie Ihr Passport-Bibliothekselement so konfigurieren, dass der Authentifizierungsmodus "Web Login" verwendet wird, zeigt Passport anstelle des Logos das Webansichtsfenster an. Wenn der Benutzer auf die Schaltfläche "Lokale Anmeldung" klickt, zeigt Passport das Logo zusammen mit den Feldern "Benutzername" und "Kennwort" anstelle des Webansichtsfensters an.

   • Desktop-Bild anpassen: Für eine Hintergrundbilddatei wird ein Bild mit einer Größe von 3840 x 2160 Pixeln empfohlen.

2. Menüleiste (standardmäßig aktiviert) In der Standardeinstellung wird das WLAN-Menü angezeigt, sodass Benutzer im Passport-Anmeldefenster eine WLAN-Verbindung herstellen können, wenn sie noch nicht verbunden sind.

3. Banner (standardmäßig Systemeinstellungen verwenden)

   • Nachricht sperren

   • Richtlinien-Banner

4. Energiesteuerung (standardmäßig werden alle Energiesteuerungen angezeigt)

   • Schaltfläche "Herunterfahren"

   • Schaltfläche Neustart

   • Schaltfläche "Schlafen"

5. Nutzername

   • Benutzernamen-Label anpassen: Geben Sie eine benutzerdefinierte Beschriftung für das Feld "Benutzername" ein, damit Benutzer wissen, welche Anmeldeinformationen sie im Passport-Anmeldefenster eingeben müssen.

6. Passwort

   • URL zum Zurücksetzen des Passworts einschließen: Geben Sie Benutzern eine URL an, um ihr IdP-Passwort zurückzusetzen und zu aktualisieren.

Hilfefenster anpassen

Unten links im Passport-Anmeldefenster können Benutzer auf das Hilfesymbol klicken, um ein Hilfefenster anzuzeigen. Sie können dieses Hilfefenster anpassen. Klicken Sie auf Anpassen, um die Fensterschublade "Hilfe anpassen" mit den folgenden Optionen anzuzeigen:

1. Registerkarte "Support": Auf der Registerkarte "Support" können Sie eine benutzerdefinierte Kopfzeile und einen benutzerdefinierten Text eingeben. Dies ist ein großartiger Ort, um das Passport-Anmeldefenster zu erklären und zu erfahren, wie Sie den Helpdesk kontaktieren oder Support erhalten.

2. Registerkarte "Geräteinformationen": Geräteinformationen eignen sich hervorragend zur Fehlerbehebung und zur Bestimmung, an welchem Mac ein Benutzer arbeitet. Sie können Folgendes aktivieren:

   • Seriennummer

   • IP-Adresse

   • Hostname

   • macOS-Version

   • Informationen zum Modell

3. Über: Zeigt die Version von Passport an, die auf dem Mac ausgeführt wird.

Prüfung des Reisepasses

Sie können sich entscheiden, verschiedene Passport-Konfigurationen auf einem Test-Mac auszuprobieren. Nachdem Sie das Passport- Library Item für einen Blueprint geändert haben, bei dem ein Mac registriert ist, können Sie den Befehl sudo kandji library verwenden, um die Anwendung der neuen Konfiguration des Passport-Bibliothekselements zu erzwingen.

Sie können die Einstellungen für Benutzer und Gruppen (oder die Einstellungen für Benutzer und Gruppen) verwenden, um ein mit Passport verknüpftes Benutzerkonto zu löschen.

Nachdem Sie diese Schritte ausgeführt haben, können Sie sich sicher abmelden und dann versuchen, sich mit den neuen Passport-Einstellungen mit den Anmeldeinformationen eines Test-IdP-Benutzerkontos erneut anzumelden.

Verwandte Artikel

• Passport & Passwörter verwalten

• Passport-Kompatibilität mit macOS- und Kandji-Funktionen