Extension de navigateur Jamf CrowdStrike JumpCloud

Contexte du fournisseur de confiance tiers pour les données de confiance Verified Access

Cette section décrit les données de confiance fournies Accès vérifié par AWS par les fournisseurs de confiance tiers.

Note

La clé de contexte de votre fournisseur de confiance provient du nom de référence de politique que vous configurez lorsque vous créez le fournisseur de confiance. Par exemple, si vous configurez le nom de référence de la politique comme « idp123 », la clé de contexte sera « context.idp123 ». Assurez-vous d'utiliser la bonne clé de contexte lorsque vous créez la politique.

Extension de navigateur

Si vous envisagez d'intégrer un contexte de confiance aux appareils dans vos politiques d'accès, vous aurez besoin de l'extension de navigateur AWS Verified Access ou de l'extension de navigateur d'un autre partenaire. Verified Access est actuellement compatible avec les navigateurs Google Chrome et Mozilla Firefox.

Nous prenons actuellement en charge trois fournisseurs de confiance en matière d'appareils : Jamf (qui prend en charge les appareils macOS), CrowdStrike (qui prend en charge les appareils Windows 11 et Windows 10) et JumpCloud (qui prend en charge à la fois Windows et macOS).

Si vous utilisez les données de confiance Jamf dans vos politiques, vos utilisateurs doivent télécharger et installer l'extension de Accès vérifié par AWS navigateur depuis le Chrome Web Store ou le site du module complémentaire Firefox sur leurs appareils.
Si vous utilisez des données de CrowdStrikeconfiance dans vos politiques, vos utilisateurs doivent d'abord installer le Accès vérifié par AWS Native Messaging Host (lien de téléchargement direct). Ce composant est nécessaire pour obtenir les données de confiance de l' CrowdStrike agent exécuté sur les appareils des utilisateurs. Ensuite, après avoir installé ce composant, les utilisateurs doivent installer l'extension de Accès vérifié par AWS navigateur depuis le Chrome Web Store ou le site du module complémentaire Firefox sur leurs appareils.
Si vous l'utilisez JumpCloud, l'extension de JumpCloud navigateur du Chrome Web Store ou du site du module complémentaire Firefox doit être installée sur leurs appareils.

Jamf

Jamf est un fournisseur de confiance tiers. Lorsqu'une politique est évaluée, si vous définissez Jamf comme un fournisseur de confiance, Verified Access inclut les données de confiance dans le contexte Cedar sous la clé que vous spécifiez comme « nom de référence de la politique » dans la configuration du fournisseur de confiance. Vous pouvez rédiger une politique qui évalue par rapport aux données de confiance si vous le souhaitez. Le schéma JSON suivant indique quelles données sont incluses dans l'évaluation.

Pour plus d'informations sur l'utilisation de Jamf avec accès vérifié, consultez la section Intégration d'AWS Verified Access à Jamf Device Identity sur le site Web de Jamf.


{
    "title": "Jamf device data specification",
    "type": "object",
    "properties": {
        "iss": {
            "type": "string",
            "description": "\"Issuer\" - the Jamf customer ID"
        },
        "iat": {
            "type": "integer",
            "description": "\"Issued at Time\" - a unixtime (seconds since epoch) value of when the device information data was generated"
        },
        "exp": {
            "type": "integer",
            "description": "\"Expiration\" - a unixtime (seconds since epoch) value for when this device information is no longer valid"
        },
        "sub": {
            "type": "string",
            "description": "\"Subject\" - either the hardware UID or a value generated based on device location"
        },
        "groups": {
            "type": "array",
            "description": "Group IDs from UEM connector sync",
            "items": {
                "type": "string"
            }
        },
        "risk": {
            "type": "string",
            "enum": [
                "HIGH",
                "MEDIUM",
                "LOW",
                "SECURE",
                "NOT_APPLICABLE"
            ],
            "description": "a Jamf-reported level of risk associated with the device."
        },
        "osv": {
            "type": "string",
            "description": "The version of the OS that is currently running, in Apple version number format (https://support.apple.com/en-us/HT201260)"
        }
    }
}

Voici un exemple de politique qui évalue par rapport aux données de confiance fournies par Jamf.


permit(principal, action, resource) when {
   context.jamf.risk == "LOW"
};

Cedar fournit une .contains() fonction utile pour vous aider avec des énumérations telles que le score de risque de Jamf.


permit(principal, action, resource) when {
   ["LOW", "SECURE"].contains(context.jamf.risk)
};

CrowdStrike

CrowdStrike est un fournisseur de confiance tiers. Lorsqu'une politique est évaluée, si vous la définissez en CrowdStrike tant que fournisseur de confiance, Verified Access inclut les données de confiance dans le contexte Cedar sous la clé que vous spécifiez comme « nom de référence de la politique » dans la configuration du fournisseur de confiance. Vous pouvez rédiger une politique qui évalue par rapport aux données de confiance si vous le souhaitez. Le schéma JSON suivant indique quelles données sont incluses dans l'évaluation.

Pour plus d'informations sur l'utilisation CrowdStrike avec Verified Access, voir Sécurisation des applications privées avec CrowdStrike et Accès vérifié par AWS sur le GitHub site Web.


{
  "title": "CrowdStrike device data specification",
  "type": "object",
  "properties": {
    "assessment": {
      "type": "object",
      "description": "Data about CrowdStrike's assessment of the device",
      "properties": {
        "overall": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts as a weighted average of the OS and and Sensor Config scores"
        },
        "os": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the OS-specific settings monitored on the host"
        },
        "sensor_config": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the different sensor policies monitored on the host"
        },
        "version": {
          "type": "string",
          "description": "The version of the scoring algorithm being used"
        }
      }
    },
    "cid": {
      "type": "string",
      "description": "Customer ID (CID) unique to the customer's environment"
    },
    "exp": {
      "type": "integer",
      "description": "unixtime, The expiration time of the token"
    },
    "iat": {
      "type": "integer",
      "description": "unixtime, The issued time of the token"
    },
    "jwk_url": {
      "type": "string",
      "description": "URL that details the JWT signing"
    },
    "platform": {
      "type": "string",
      "enum": ["Windows 10", "Windows 11", "macOS"],
      "description": "Operating system of the endpoint"
    },
    "serial_number": {
      "type": "string",
      "description": "The serial number of the device derived by unique system information"
    },
    "sub": {
      "type": "string",
      "description": "Unique CrowdStrike Agent ID (AID) of machine"
    },
    "typ": {
      "type": "string",
      "enum": ["crowdstrike-zta+jwt"],
      "description": "Generic name for this JWT media. Client MUST reject any other type"
    }
  }
}

Voici un exemple de politique qui évalue par rapport aux données de confiance fournies par CrowdStrike.


permit(principal, action, resource) when {
   context.crowdstrike.assessment.overall > 50
};

JumpCloud

JumpCloud est un fournisseur de confiance tiers. Lorsqu'une politique est évaluée, si vous la définissez en JumpCloud tant que fournisseur de confiance, Verified Access inclut les données de confiance dans le contexte Cedar sous la clé que vous spécifiez comme « nom de référence de la politique » dans la configuration du fournisseur de confiance. Vous pouvez rédiger une politique qui évalue par rapport aux données de confiance si vous le souhaitez. Le schéma JSON suivant indique quelles données sont incluses dans l'évaluation.

Pour plus d'informations sur l'utilisation JumpCloud avec AWS Verified Access, voir Intégration JumpCloud et accès AWS vérifié sur le JumpCloud site Web.


{
  "title": "JumpCloud device data specification",
  "type": "object",
  "properties": {
    "device": {
      "type": "object",
      "description": "Properties of the device",
      "properties": {
        "is_managed": {
          "type": "boolean",
          "description": "Boolean to indicate if the device is under management"
        }
      }
    },
    "exp": {
      "type": "integer",
      "description": "Expiration. Unixtime of the token's expiration."
    },
    "durt_id": {
      "type": "string",
      "description": "Device User Refresh Token ID. Unique ID that represents the device + user."
    },
    "iat": {
      "type": "integer",
      "description": "Issued At. Unixtime of the token's issuance."
    },
    "iss": {
      "type": "string",
      "description": "Issuer. This will be 'go.jumpcloud.com'"
    },
    "org_id": {
      "type": "string",
      "description": "The JumpCloud Organization ID"
    },
    "sub": {
      "type": "string",
      "description": "Subject. The managed JumpCloud user ID on the device."
    },
    "system": {
      "type": "string",
      "description": "The JumpCloud system ID"
    }
  }
}

Voici un exemple de politique qui évalue par rapport au contexte de confiance fourni par JumpCloud.


permit(principal, action, resource) when {
   context.jumpcloud.org_id == 'Unique_organization_identifier'
};

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS IAM Identity Center contexte

L'utilisateur affirme être transmis