Estensione del browser Jamf CrowdStrike JumpCloud

Contesto di fornitori di fiducia di terze parti per i dati attendibili ad accesso verificato

Questa sezione descrive i dati sulla fiducia forniti Accesso verificato da AWS da fornitori di fiducia di terze parti.

Nota

La chiave di contesto per il provider fiduciario deriva dal nome di riferimento della politica che si configura al momento della creazione del provider fiduciario. Ad esempio, se configurate il nome di riferimento della policy come «idp123", la chiave di contesto sarà «context.idp123". Assicurati di utilizzare la chiave contestuale corretta quando crei la policy.

Estensione del browser

Se prevedi di incorporare il contesto di attendibilità del dispositivo nelle tue politiche di accesso, avrai bisogno dell'estensione del browser AWS Verified Access o dell'estensione del browser di un altro partner. Verified Access attualmente supporta i browser Google Chrome e Mozilla Firefox.

Attualmente supportiamo tre provider affidabili per dispositivi: Jamf (che supporta i dispositivi macOS) CrowdStrike , (che supporta i dispositivi Windows 11 e Windows 10) JumpCloud e (che supporta sia Windows che macOS).

Se utilizzi Jamf Trust Data nelle tue norme, gli utenti devono scaricare e installare l'estensione del Accesso verificato da AWS browser dal Chrome web store o dal sito aggiuntivo per Firefox sui propri dispositivi.
Se utilizzi dati CrowdStrikeattendibili nelle tue politiche, per prima cosa gli utenti devono installare l'host di messaggistica Accesso verificato da AWS nativo (link per il download diretto). Questo componente è necessario per ottenere i dati di attendibilità dall' CrowdStrike agente in esecuzione sui dispositivi degli utenti. Quindi, dopo aver installato questo componente, gli utenti devono installare l'estensione Accesso verificato da AWS del browser dal Chrome Web Store o dal sito aggiuntivo di Firefox sui propri dispositivi.
Se lo utilizzi JumpCloud, i tuoi utenti devono avere l'estensione JumpCloud del browser del Chrome web store o del sito aggiuntivo per Firefox installata sui loro dispositivi.

Jamf

Jamf è un fornitore di servizi fiduciari di terze parti. Quando viene valutata una politica, se definisci Jamf come fornitore di fiducia, Verified Access include i dati sulla fiducia nel contesto Cedar nella chiave specificata come «Nome di riferimento della politica» nella configurazione del provider fiduciario. Se lo desideri, puoi scrivere una politica che valuti i dati sulla fiducia. JSONLo schema seguente mostra quali dati sono inclusi nella valutazione.

Per ulteriori informazioni sull'utilizzo di Jamf con accesso verificato, consulta Integrazione dell'accesso AWS verificato con Jamf Device Identity sul sito Web Jamf.


{
    "title": "Jamf device data specification",
    "type": "object",
    "properties": {
        "iss": {
            "type": "string",
            "description": "\"Issuer\" - the Jamf customer ID"
        },
        "iat": {
            "type": "integer",
            "description": "\"Issued at Time\" - a unixtime (seconds since epoch) value of when the device information data was generated"
        },
        "exp": {
            "type": "integer",
            "description": "\"Expiration\" - a unixtime (seconds since epoch) value for when this device information is no longer valid"
        },
        "sub": {
            "type": "string",
            "description": "\"Subject\" - either the hardware UID or a value generated based on device location"
        },
        "groups": {
            "type": "array",
            "description": "Group IDs from UEM connector sync",
            "items": {
                "type": "string"
            }
        },
        "risk": {
            "type": "string",
            "enum": [
                "HIGH",
                "MEDIUM",
                "LOW",
                "SECURE",
                "NOT_APPLICABLE"
            ],
            "description": "a Jamf-reported level of risk associated with the device."
        },
        "osv": {
            "type": "string",
            "description": "The version of the OS that is currently running, in Apple version number format (https://support.apple.com/en-us/HT201260)"
        }
    }
}

Di seguito è riportato un esempio di policy che valuta i dati di attendibilità forniti da Jamf.


permit(principal, action, resource) when {
   context.jamf.risk == "LOW"
};

Cedar fornisce una .contains() funzione utile per aiutare con enumerazioni come il punteggio di rischio di Jamf.


permit(principal, action, resource) when {
   ["LOW", "SECURE"].contains(context.jamf.risk)
};

CrowdStrike

CrowdStrike è un fornitore di fiducia terzo. Quando viene valutata una politica, se la definisci CrowdStrike come fornitore di fiducia, Verified Access include i dati sulla fiducia nel contesto Cedar nella chiave specificata come «Nome di riferimento della politica» nella configurazione del provider fiduciario. Se lo desideri, puoi scrivere una politica che valuti i dati sulla fiducia. JSONLo schema seguente mostra quali dati sono inclusi nella valutazione.

Per ulteriori informazioni sull'utilizzo CrowdStrike con Verified Access, consulta Proteggere le applicazioni private con CrowdStrike e Accesso verificato da AWS sul GitHub sito Web.


{
  "title": "CrowdStrike device data specification",
  "type": "object",
  "properties": {
    "assessment": {
      "type": "object",
      "description": "Data about CrowdStrike's assessment of the device",
      "properties": {
        "overall": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts as a weighted average of the OS and and Sensor Config scores"
        },
        "os": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the OS-specific settings monitored on the host"
        },
        "sensor_config": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the different sensor policies monitored on the host"
        },
        "version": {
          "type": "string",
          "description": "The version of the scoring algorithm being used"
        }
      }
    },
    "cid": {
      "type": "string",
      "description": "Customer ID (CID) unique to the customer's environemnt"
    },
    "exp": {
      "type": "integer",
      "description": "unixtime, The expiration time of the token"
    },
    "iat": {
      "type": "integer",
      "description": "unixtime, The issued time of the token"
    },
    "jwk_url": {
      "type": "string",
      "description": "URL that details the JWT signing"
    },
    "platform": {
      "type": "string",
      "enum": ["Windows 10", "Windows 11", "macOS"],
      "description": "Operating system of the endpoint"
    },
    "serial_number": {
      "type": "string",
      "description": "The serial number of the device derived by unique system information"
    },
    "sub": {
      "type": "string",
      "description": "Unique CrowdStrike Agent ID (AID) of machine"
    },
    "typ": {
      "type": "string",
      "enum": ["crowdstrike-zta+jwt"],
      "description": "Generic name for this JWT media. Client MUST reject any other type"
    }
  }
}

Di seguito è riportato un esempio di policy che valuta i dati di attendibilità forniti da. CrowdStrike


permit(principal, action, resource) when {
   context.crowdstrike.assessment.overall > 50
};

JumpCloud

JumpCloud è un fornitore di servizi fiduciari di terze parti. Quando viene valutata una politica, se la definisci JumpCloud come fornitore di fiducia, Verified Access include i dati sulla fiducia nel contesto Cedar nella chiave specificata come «Nome di riferimento della politica» nella configurazione del provider fiduciario. Se lo desideri, puoi scrivere una politica che valuti i dati sulla fiducia. JSONLo schema seguente mostra quali dati sono inclusi nella valutazione.

Per ulteriori informazioni sull'utilizzo JumpCloud con AWS Verified Access, consulta Integrazione JumpCloud e accesso AWS verificato sul JumpCloud sito Web.


{
  "title": "JumpCloud device data specification",
  "type": "object",
  "properties": {
    "device": {
      "type": "object",
      "description": "Properties of the device",
      "properties": {
        "is_managed": {
          "type": "boolean",
          "description": "Boolean to indicate if the device is under management"
        }
      }
    },
    "exp": {
      "type": "integer",
      "description": "Expiration. Unixtime of the token's expiration."
    },
    "durt_id": {
      "type": "string",
      "description": "Device User Refresh Token ID. Unique ID that represents the device + user."
    },
    "iat": {
      "type": "integer",
      "description": "Issued At. Unixtime of the token's issuance."
    },
    "iss": {
      "type": "string",
      "description": "Issuer. This will be 'go.jumpcloud.com'"
    },
    "org_id": {
      "type": "string",
      "description": "The JumpCloud Organization ID"
    },
    "sub": {
      "type": "string",
      "description": "Subject. The managed JumpCloud user ID on the device."
    },
    "system": {
      "type": "string",
      "description": "The JumpCloud system ID"
    }
  }
}

Di seguito è riportato un esempio di policy che valuta in base al contesto di fiducia fornito da. JumpCloud


permit(principal, action, resource) when {
   context.jumpcloud.org_id = 'Unique_orgnaization_identifier'
};

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS IAM Identity Center contesto

L'utente dichiara di aver superato