Extensión del navegador Jamf CrowdStrike JumpCloud

Contexto de proveedor de confianza externo para datos de confianza de Acceso verificado

En esta sección se describen los datos de confianza que proporcionan Acceso verificado de AWS los proveedores de confianza externos.

nota

La clave de contexto de su proveedor de confianza proviene del nombre de referencia de la política que configuró al crear el proveedor de confianza. Por ejemplo, si configura el nombre de referencia de la política como «idp123», la clave de contexto será «context.idp123». Asegúrese de utilizar la clave de contexto correcta al crear la política.

Extensión del navegador

Si planea incorporar el contexto de confianza de los dispositivos en sus políticas de acceso, necesitará la extensión de navegador AWS Verified Access o la extensión de navegador de otro socio. Actualmente, Acceso verificado es compatible con los navegadores Google Chrome y Mozilla Firefox.

Actualmente, admitimos tres proveedores de confianza de dispositivos: Jamf (que es compatible con dispositivos macOS), CrowdStrike (que es compatible con dispositivos con Windows 11 y Windows 10) y JumpCloud (que es compatible con Windows y macOS).

Si utilizas los datos de confianza de Jamf en tus políticas, tus usuarios deberán descargar e instalar la extensión del Acceso verificado de AWS navegador desde la tienda web de Chrome o desde el sitio de complementos de Firefox en sus dispositivos.
Si utilizas datos de CrowdStrikeconfianza en tus políticas, primero los usuarios deben instalar el servidor de mensajería Acceso verificado de AWS nativo (enlace de descarga directa). Este componente es necesario para obtener los datos de confianza del CrowdStrike agente que se ejecuta en los dispositivos de los usuarios. A continuación, tras instalar este componente, los usuarios deben instalar la extensión del Acceso verificado de AWS navegador desde la tienda web de Chrome o desde el sitio de complementos de Firefox en sus dispositivos.
Si lo utilizas JumpCloud, tus usuarios deben tener instalada en sus dispositivos la extensión de JumpCloud navegador de la tienda web de Chrome o del sitio de complementos de Firefox.

Jamf

Jamf es un proveedor de confianza de terceros. Al evaluar una política, si define a Jamf como un proveedor de confianza, Acceso verificado incluirá los datos de confianza en el contexto de Cedar bajo la clave que especifique como «nombre de referencia de la política» en la configuración del proveedor de confianza. Si lo desea, puede escribir una política que evalúe los datos de confianza. El siguiente JSONesquema muestra los datos que se incluyen en la evaluación.

Para obtener más información sobre cómo usar Jamf con Verified Access, consulta Integrar AWS Verified Access con Jamf Device Identity en el sitio web de Jamf.


{
    "title": "Jamf device data specification",
    "type": "object",
    "properties": {
        "iss": {
            "type": "string",
            "description": "\"Issuer\" - the Jamf customer ID"
        },
        "iat": {
            "type": "integer",
            "description": "\"Issued at Time\" - a unixtime (seconds since epoch) value of when the device information data was generated"
        },
        "exp": {
            "type": "integer",
            "description": "\"Expiration\" - a unixtime (seconds since epoch) value for when this device information is no longer valid"
        },
        "sub": {
            "type": "string",
            "description": "\"Subject\" - either the hardware UID or a value generated based on device location"
        },
        "groups": {
            "type": "array",
            "description": "Group IDs from UEM connector sync",
            "items": {
                "type": "string"
            }
        },
        "risk": {
            "type": "string",
            "enum": [
                "HIGH",
                "MEDIUM",
                "LOW",
                "SECURE",
                "NOT_APPLICABLE"
            ],
            "description": "a Jamf-reported level of risk associated with the device."
        },
        "osv": {
            "type": "string",
            "description": "The version of the OS that is currently running, in Apple version number format (https://support.apple.com/en-us/HT201260)"
        }
    }
}

El siguiente es un ejemplo de política que se evalúa en función de los datos de confianza proporcionados por Jamf.


permit(principal, action, resource) when {
   context.jamf.risk == "LOW"
};

Cedar proporciona una función .contains() útil para ayudar con enumeraciones como la puntuación de riesgo de Jamf.


permit(principal, action, resource) when {
   ["LOW", "SECURE"].contains(context.jamf.risk)
};

CrowdStrike

CrowdStrike es un proveedor de confianza externo. Cuando se evalúa una política, si la define CrowdStrike como un proveedor de confianza, Verified Access incluye los datos de confianza en el contexto de Cedar bajo la clave que especifique como «nombre de referencia de la política» en la configuración del proveedor de confianza. Si lo desea, puede escribir una política que evalúe los datos de confianza. El siguiente JSONesquema muestra los datos que se incluyen en la evaluación.

Para obtener más información sobre el uso CrowdStrike con acceso verificado, consulte Proteger aplicaciones privadas Acceso verificado de AWS en CrowdStrike y en el GitHub sitio web.


{
  "title": "CrowdStrike device data specification",
  "type": "object",
  "properties": {
    "assessment": {
      "type": "object",
      "description": "Data about CrowdStrike's assessment of the device",
      "properties": {
        "overall": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts as a weighted average of the OS and and Sensor Config scores"
        },
        "os": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the OS-specific settings monitored on the host"
        },
        "sensor_config": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the different sensor policies monitored on the host"
        },
        "version": {
          "type": "string",
          "description": "The version of the scoring algorithm being used"
        }
      }
    },
    "cid": {
      "type": "string",
      "description": "Customer ID (CID) unique to the customer's environemnt"
    },
    "exp": {
      "type": "integer",
      "description": "unixtime, The expiration time of the token"
    },
    "iat": {
      "type": "integer",
      "description": "unixtime, The issued time of the token"
    },
    "jwk_url": {
      "type": "string",
      "description": "URL that details the JWT signing"
    },
    "platform": {
      "type": "string",
      "enum": ["Windows 10", "Windows 11", "macOS"],
      "description": "Operating system of the endpoint"
    },
    "serial_number": {
      "type": "string",
      "description": "The serial number of the device derived by unique system information"
    },
    "sub": {
      "type": "string",
      "description": "Unique CrowdStrike Agent ID (AID) of machine"
    },
    "typ": {
      "type": "string",
      "enum": ["crowdstrike-zta+jwt"],
      "description": "Generic name for this JWT media. Client MUST reject any other type"
    }
  }
}

El siguiente es un ejemplo de política que se evalúa en función de los datos de confianza proporcionados por CrowdStrike.


permit(principal, action, resource) when {
   context.crowdstrike.assessment.overall > 50
};

JumpCloud

JumpCloud es un proveedor de confianza externo. Cuando se evalúa una política, si la define JumpCloud como un proveedor de confianza, Verified Access incluye los datos de confianza en el contexto de Cedar bajo la clave que especifique como «nombre de referencia de la política» en la configuración del proveedor de confianza. Si lo desea, puede escribir una política que evalúe los datos de confianza. El siguiente JSONesquema muestra los datos que se incluyen en la evaluación.

Para obtener más información sobre el uso JumpCloud con acceso AWS verificado, consulte Integración JumpCloud y acceso AWS verificado en el JumpCloud sitio web.


{
  "title": "JumpCloud device data specification",
  "type": "object",
  "properties": {
    "device": {
      "type": "object",
      "description": "Properties of the device",
      "properties": {
        "is_managed": {
          "type": "boolean",
          "description": "Boolean to indicate if the device is under management"
        }
      }
    },
    "exp": {
      "type": "integer",
      "description": "Expiration. Unixtime of the token's expiration."
    },
    "durt_id": {
      "type": "string",
      "description": "Device User Refresh Token ID. Unique ID that represents the device + user."
    },
    "iat": {
      "type": "integer",
      "description": "Issued At. Unixtime of the token's issuance."
    },
    "iss": {
      "type": "string",
      "description": "Issuer. This will be 'go.jumpcloud.com'"
    },
    "org_id": {
      "type": "string",
      "description": "The JumpCloud Organization ID"
    },
    "sub": {
      "type": "string",
      "description": "Subject. The managed JumpCloud user ID on the device."
    },
    "system": {
      "type": "string",
      "description": "The JumpCloud system ID"
    }
  }
}

El siguiente es un ejemplo de una política que se evalúa en función del contexto de confianza proporcionado por JumpCloud.


permit(principal, action, resource) when {
   context.jumpcloud.org_id = 'Unique_orgnaization_identifier'
};

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS IAM Identity Center contexto

Transferencia de las notificaciones de usuario