Konfigurieren von Authentifizierung für die Registrierung erforderlich

Was ist Authentifizierung erforderlich?

Authentifizierung erforderlich ist eine Registrierungseinstellung, die es Administratoren ermöglicht, die Benutzerauthentifizierung über einen Identitätsanbieter (IdP) zu erzwingen, bevor sie mit der Geräteregistrierung fortfahren. Administratoren können den authentifizierten IdP-Benutzer mit einem Benutzer in ihrem IdP abgleichen und den übereinstimmenden Benutzer automatisch dem Gerätedatensatz zuweisen.

Funktionsweise von "Authentifizierung erforderlich"

Nachdem Sie eine SSO-Verbindung (Single Sign-On) in Kandji konfiguriert und auf der Registrierungsseite einem automatisierten Device Enrollment Library Item oder Blueprint zugewiesen haben, müssen sich Benutzer über einen IdP authentifizieren, um ihre Geräte bei Kandjizu registrieren. Kandji -Administratoren können festlegen, dass Benutzer basierend auf E-Mail-Übereinstimmungen automatisch Gerätedatensätzen zugewiesen werden.

Bei automatisierten Device Enrollment -Konfigurationen, die eine Authentifizierung erfordern, können Administratoren Kontodetails während der Einrichtung vorab ausfüllen und sperren.

Voraussetzungen

• Eine funktionierende SSO-Konfiguration in den Einstellungen > Access.

Konfigurieren von Authentifizierung mit automatisierter Device Enrollment

1. Navigieren Sie in der linken Navigationsleiste zu Library.

2. Klicken Sie oben rechts auf Neu hinzufügen und wählen Sie Zugriff auf Zubehör und Speicher.

3. Klicken Sie auf Hinzufügen und konfigurieren.

4. Geben Sie dem neuen automatisierten Device Enrollment Library Item einen Namen. 

5. Weisen Sie es Ihrem gewünschten Assignment Maps oder Classic Blueprints zu. 

6. Aktivieren Sie das Kontrollkästchen Authentifizierung erforderlich.

7. Wählen Sie eine SSO-Verbindung aus.

8. Optional Benutzer zum Gerätedatensatz zuweisen. 

   • Wenn Sie diese Option aktivieren, wird versucht, den vom Identitätsanbieter authentifizierten Benutzer mit einem Benutzer abzugleichen, der in Ihren Benutzerverzeichnisintegration(en) vorhanden ist. Wenn die E-Mail-Adresse des authentifizierten IdP-Benutzers mit der E-Mail-Adresse in Ihrem integrierten Verzeichnis übereinstimmt, wird der Benutzer dem Gerät zugewiesen.

9. Um die anfänglichen Kontoinformationen Ihres Benutzers so auszufüllen, dass sie mit Ihrem IdP übereinstimmen, wählen Sie Primäre Kontodetails vorab ausfüllen aus.

10. Um sicherzustellen, dass Ihr Benutzer seine anfänglichen Kontoinformationen nicht ändern kann, wählen Sie Primäre Kontodetails sperren aus. 

11. Konfigurieren Sie den Rest Ihrer automatisierten Device Enrollment Library Item wie gewünscht und klicken Sie auf Speichern.

Konfigurieren von Authentifizierung mit manueller Registrierung

1. Wählen Sie in der Navigationsleiste Registrierung aus.

2. Navigieren Sie zur Registerkarte Manuelle Registrierung.

3. Scrollen Sie nach unten zu Ihrem gewünschten Blueprint und aktivieren Sie das Kontrollkästchen für Authentifizierung erforderlich.

4. Aktivieren Sie bei Bedarf das Kontrollkästchen Benutzer zum Gerätedatensatz zuweisen. 

Betrachtungen

• Wenn Sie auch Passportbereitstellen, müssen Sie die Optionen Details zur Erstkontoerstellung vorab ausfüllen und Details zur Kontoerstellung sperren deaktivieren. Die Verwendung der Einstellungen zum Vorausfüllen und Sperren beim Überspringen der Accounterstellung, wie mit Passport empfohlen, führt zu einem Konflikt bei der Accounterstellung und führt zu einem Fehler des Systemassistenten, der das Löschen des Mac erfordert.

• Wenn Sie eine Authentifizierung erfordern und Google Workspace als Identitätsanbieter verwenden, muss der Single Sign-On-Eintrag mit benutzerdefiniertem SAML erstellt werden, da die integrierte Google Workspace-Integration bei der Registrierung zu einem 403-Fehler führt.

• Eine SSO-Verbindung muss nicht in den Einstellungen > Zugriff auf Authentifizierung im automatisierten Device Enrollment oder bei der manuellen Registrierung aktiv sein. Eine Verbindung sollte in den Einstellungen nur dann aktiv sein, wenn Sie Kandji Administratoren bei der Web-App mit dieser Verbindung authentifizieren möchten.

• Bei der ausgewählten Authentifizierungsverbindung handelt es sich um die SSO-Verbindung, die zur Authentifizierung des Benutzers verwendet wird. Jeder Benutzer, der der "Anwendung" innerhalb des Identitätsanbieters zugewiesen ist, kann die Registrierung abschließen.

• Sie können dieselbe Verbindung (im Allgemeinen als Anwendung innerhalb des Identitätsanbieters bezeichnet) verwenden, die Sie für Ihre Kandji Teammitglieder verwenden, um sich bei Ihrem Kandji Mandanten zu authentifizieren, oder eine völlig neue Verbindung/Anwendung innerhalb Kandji und Ihres Identitätsanbieters speziell für die Geräteregistrierung konfigurieren. 

• Wenn Sie sich dafür entscheiden, dieselbe Verbindung/Anwendung zu verwenden, beachten Sie bitte, dass Ihre Endbenutzer die Kandji Anwendung möglicherweise im Anwendungskatalog Ihres Identitätsanbieters sehen. Durch das Zuweisen von Benutzern zur Anwendung werden ihnen keine Administratorrechte in Kandjigewährt.