Extensión del navegador Jamf CrowdStrike JumpCloud

Proveedores de confianza de terceros

En esta sección se describen los datos de confianza proporcionados a Acceso verificado de AWS por proveedores de confianza externos.

nota

La clave de contexto de su proveedor de confianza proviene del nombre de referencia de la política que configuró al crear el proveedor de confianza. Por ejemplo, si configura el nombre de referencia de la política como «idp123», la clave de contexto será «context.idp123». Asegúrese de utilizar la clave de contexto correcta al crear la política.

Extensión del navegador

Si planea incorporar el contexto de confianza de los dispositivos en sus políticas de acceso, necesitará la extensión de navegador de Acceso verificado de AWS o la extensión de navegador de otro socio. Actualmente, Acceso verificado es compatible con los navegadores Google Chrome y Mozilla Firefox.

Actualmente, admitimos tres proveedores de confianza de dispositivos: Jamf (que es compatible con dispositivos macOS), CrowdStrike (que es compatible con dispositivos con Windows 11 y Windows 10) y JumpCloud (que es compatible con Windows y con MacOS).

Si utiliza los datos de confianza de Jamf en sus políticas, sus usuarios deben descargar e instalar la extensión de navegador de Acceso verificado de AWS desde la tienda web de Chrome o desde el sitio de complementos de Firefox en sus dispositivos.
Si utiliza datos de confianza de CrowdStrike en sus políticas, primero sus usuarios deben instalar el Verified Access Native Messaging HostAWS (enlace de descarga directa). Este componente es necesario para obtener los datos de confianza del agente de CrowdStrike que se ejecuta en los dispositivos de los usuarios. A continuación, tras instalar este componente, los usuarios deben instalar en sus dispositivos la extensión de navegador de Acceso verificado de AWS desde la tienda web de Chrome o desde el sitio de complementos de Firefox.
Si utiliza JumpCloud, sus usuarios deben tener instalada en sus dispositivos la extensión para navegadores de la tienda web de Chrome o del sitio de complementos de Firefox.

Jamf

Jamf es un proveedor de confianza de terceros. Al evaluar una política, si define a Jamf como un proveedor de confianza, Acceso verificado incluirá los datos de confianza en el contexto de Cedar bajo la clave que especifique como «nombre de referencia de la política» en la configuración del proveedor de confianza. Si lo desea, puede escribir una política que evalúe los datos de confianza. El siguiente esquema JSON muestra los datos que se incluyen en la evaluación.

Para obtener más información sobre el uso de Jamf con Acceso verificado de AWS, consulte Integrar Acceso verificado de AWS con Jamf Device Identity en el sitio web de Jamf.


{
    "title": "Jamf device data specification",
    "type": "object",
    "properties": {
        "iss": {
            "type": "string",
            "description": "\"Issuer\" - the Jamf customer ID"
        },
        "iat": {
            "type": "integer",
            "description": "\"Issued at Time\" - a unixtime (seconds since epoch) value of when the device information data was generated"
        },
        "exp": {
            "type": "integer",
            "description": "\"Expiration\" - a unixtime (seconds since epoch) value for when this device information is no longer valid"
        },
        "sub": {
            "type": "string",
            "description": "\"Subject\" - either the hardware UID or a value generated based on device location"
        },
        "groups": {
            "type": "array",
            "description": "Group IDs from UEM connector sync",
            "items": {
                "type": "string"
            }
        },
        "risk": {
            "type": "string",
            "enum": [
                "HIGH",
                "MEDIUM",
                "LOW",
                "SECURE",
                "NOT_APPLICABLE"
            ],
            "description": "a Jamf-reported level of risk associated with the device."
        },
        "osv": {
            "type": "string",
            "description": "The version of the OS that is currently running, in Apple version number format (https://support.apple.com/en-us/HT201260)"
        }
    }
}

El siguiente es un ejemplo de política que se evalúa en función de los datos de confianza proporcionados por Jamf.


permit(principal, action, resource) when {
   context.jamf.risk == "LOW"
};

Cedar proporciona una función .contains() útil para ayudar con enumeraciones como la puntuación de riesgo de Jamf.


permit(principal, action, resource) when {
   ["LOW", "SECURE"].contains(context.jamf.risk)
};

CrowdStrike

CrowdStrike es un proveedor de confianza de terceros. Al evaluar una política, si define a CrowdStrike como un proveedor de confianza, Acceso verificado incluye los datos de confianza en el contexto de Cedar en la clave que especifique como «Nombre de referencia de la política» en la configuración del proveedor de confianza. Si lo desea, puede escribir una política que evalúe los datos de confianza. El siguiente esquema JSON muestra los datos que se incluyen en la evaluación.

Para obtener más información sobre el uso de CrowdStrike con Acceso verificado de AWS, consulte Cómo proteger aplicaciones privadas con CrowdStrike y Acceso verificado de AWS en el sitio web de GitHub.


{
  "title": "CrowdStrike device data specification",
  "type": "object",
  "properties": {
    "assessment": {
      "type": "object",
      "description": "Data about CrowdStrike's assessment of the device",
      "properties": {
        "overall": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts as a weighted average of the OS and and Sensor Config scores"
        },
        "os": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the OS-specific settings monitored on the host"
        },
        "sensor_config": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the different sensor policies monitored on the host"
        },
        "version": {
          "type": "string",
          "description": "The version of the scoring algorithm being used"
        }
      }
    },
    "cid": {
      "type": "string",
      "description": "Customer ID (CID) unique to the customer's environemnt"
    },
    "exp": {
      "type": "integer",
      "description": "unixtime, The expiration time of the token"
    },
    "iat": {
      "type": "integer",
      "description": "unixtime, The issued time of the token"
    },
    "jwk_url": {
      "type": "string",
      "description": "URL that details the JWT signing"
    },
    "platform": {
      "type": "string",
      "enum": ["Windows 10", "Windows 11", "macOS"],
      "description": "Operating system of the endpoint"
    },
    "serial_number": {
      "type": "string",
      "description": "The serial number of the device derived by unique system information"
    },
    "sub": {
      "type": "string",
      "description": "Unique CrowdStrike Agent ID (AID) of machine"
    },
    "typ": {
      "type": "string",
      "enum": ["crowdstrike-zta+jwt"],
      "description": "Generic name for this JWT media. Client MUST reject any other type"
    }
  }
}

El siguiente es un ejemplo de política que se evalúa en función de los datos de confianza proporcionados por CrowdStrike.


permit(principal, action, resource) when {
   context.crowdstrike.assessment.overall > 50
};

JumpCloud

JumpCloud es un proveedor de confianza de terceros. Cuando se evalúa una política, si define JumpCloud como proveedor de confianza, el Acceso verificado incluye los datos de confianza en el contexto de Cedar bajo la clave que especifique como “Nombre de referencia de la política” en la configuración del proveedor de confianza. Si lo desea, puede escribir una política que evalúe los datos de confianza. El siguiente esquema JSON muestra los datos que se incluyen en la evaluación.

Para obtener más información sobre el uso de JumpCloud con Acceso verificado de AWS, consulte Integración de JumpCloud y Acceso verificado de AWS en el sitio web de JumpCloud.


{
  "title": "JumpCloud device data specification",
  "type": "object",
  "properties": {
    "device": {
      "type": "object",
      "description": "Properties of the device",
      "properties": {
        "is_managed": {
          "type": "boolean",
          "description": "Boolean to indicate if the device is under management"
        }
      }
    },
    "exp": {
      "type": "integer",
      "description": "Expiration. Unixtime of the token's expiration."
    },
    "durt_id": {
      "type": "string",
      "description": "Device User Refresh Token ID. Unique ID that represents the device + user."
    },
    "iat": {
      "type": "integer",
      "description": "Issued At. Unixtime of the token's issuance."
    },
    "iss": {
      "type": "string",
      "description": "Issuer. This will be 'go.jumpcloud.com'"
    },
    "org_id": {
      "type": "string",
      "description": "The JumpCloud Organization ID"
    },
    "sub": {
      "type": "string",
      "description": "Subject. The managed JumpCloud user ID on the device."
    },
    "system": {
      "type": "string",
      "description": "The JumpCloud system ID"
    }
  }
}

El siguiente es un ejemplo de política que se evalúa en función del contexto de confianza proporcionado por JumpCloud.


permit(principal, action, resource) when {
   context.jumpcloud.org_id = 'Unique_orgnaization_identifier'
};

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS IAM Identity Center

Transferencia de las notificaciones de usuario