Single Sign-On mit Google Workspace (SAML)

Erstellen einer SAML-Verbindung 

1. Navigieren Sie in Kandji zur Seite Einstellungen .

2. Klicken Sie auf die Registerkarte Zugriff.

3. Suchen Sie den Abschnitt Authentifizierung und klicken Sie unten links auf die Schaltfläche Hinzufügen.

4. Klicken Sie im neuen Bereich auf Benutzerdefiniertes SAML.

5. Klicken Sie auf Weiter.

6. Klicken Sie auf Erweiterte Details anzeigen.

7. Kopieren Sie die Assertion Consumer Services-URL zur späteren Verwendung in ein Textdokument.

8. Kopieren Sie die Entitäts-ID zur späteren Verwendung in ein Textdokument.

9. Lassen Sie diesen Tab geöffnet und fahren Sie mit der Google Workspace-Admin-Konsole fort, indem Sie die folgende Anleitung befolgen. 

Kandji Anwendung zu Google Workspace hinzufügen

1. Melden Sie sich in einem neuen Browser-Tab mit einem Google Workspace-Administratorkonto in admin.google.com an.

2. Klicken Sie auf das Menüsymbol oben links.

3. Wählen Sie Apps aus.

4. Wählen Sie Web- und mobile Apps aus.

5. Klicken Sie auf das Dropdown-Menü App hinzufügen .

6. Wählen Sie Benutzerdefinierte SAML-App hinzufügen aus.

7. Auf der Seite mit den App-Details :

   1. Legen Sie einen App-Namen fest.

   2. Fügen Sie optional eine Beschreibung hinzu.

   3. Laden Sie ein optionales App-Symbol hoch.

   4. Klicken Sie auf Weiter.

8. Verwenden Sie auf der Seite "Details zum Google-Identitätsanbieter" Option 2: SSO-URL, Entitäts-ID und Zertifikat kopieren.

   1. Kopieren Sie die SSO-URL und speichern Sie sie zur späteren Verwendung in einem Textdokument.

   2. Laden Sie das Zertifikat herunter und speichern Sie es.

   3. Klicken Sie auf Weiter.

9. Auf der Seite "Details zum Dienstanbieter":

   1. Fügen Sie im Feld ACS-URL die Kandji Assertion Consumer Service-URL ein, die  Sie zuvor kopiert haben. 

   2. Fügen Sie die Kandji Entitäts-ID, die Sie zuvor kopiert haben, in das Feld Entitäts-ID ein.

   3. Stellen Sie sicher, dass die Option Signierte Antwort aktiviert ist.

   4. Legen Sie das Namens-ID-Format auf UNSPECIFIED fest.

   5. Stellen Sie sicher, dass für NameID die Option Grundlegende Informationen > Primäre E-Mail-Adresse ausgewählt ist.

   6. Klicken Sie auf Weiter.

10. Auf der Seite Attributzuordnung:

    1. Klicken Sie zweimal auf Mapping hinzufügen, damit Sie die folgenden beiden Mappings hinzufügen können:

       1. Suchen Sie im Dropdown-Menü nach dem Attribut Vorname und fügen Sie die folgende Zeichenfolge ein:

          schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

       2. Suchen Sie im Dropdown-Menü nach dem Attribut Nachname und fügen Sie die folgende Zeichenfolge ein:

          schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    2. Klicken Sie auf Fertig stellen.

11. Überprüfen Sie auf der daraufhin angezeigten App-Seite unter Benutzerzugriff, ob der Dienst aktiviert und eine Benutzergruppe oder Organisationseinheit ausgewählt ist. 

    1. Wenn für alle die Option AUS angezeigt wird, klicken Sie auf das Dreiecksymbol im Bereich für den Nutzerzugriff, um der App eine Nutzergruppe oder Organisationseinheit zuzuweisen.  

    2. Optional wählen Sie bitte eine Gruppe oder Organisationseinheit aus, um den Dienst zu aktivieren (standardmäßig werden alle Organisationseinheiten angezeigt).

    3. Legen Sie den Dienststatus für alle auf EIN fest.

    4. Klicken Sie auf Speichern.

    Im Abschnitt "Erforderliche Anspruchsattribute" des Wissensdatenbankartikels SAML-basiertes Single Sign-On finden Sie weitere Informationen zum Kandji Attributzuordnungen.

Konfigurieren der SAML-Verbindung in Kandji

1. Kehren Sie zum benutzerdefinierten SAML-Modal in Kandji zurück.

2. Geben Sie der Verbindung einen Namen.

3. Fügen Sie die Anmelde-URL ein, die Sie aus Google Workspace kopiert haben.

4. Laden Sie das Zertifikat hoch, das Sie von Google Workspace heruntergeladen haben.

5. Stellen Sie sicher, dass das Benutzer-ID-Attribut auf den Standardwert von

   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

6. Stellen Sie sicher, dass Sign Request auf Ja festgelegt ist.

7. Stellen Sie sicher, dass der Anforderungsalgorithmus auf RSA-SHA256 eingestellt ist.

8. Stellen Sie sicher, dass Sign Request Algorithm Digest auf SHA 256 festgelegt ist.

9. Legen Sie die Protokollbindung auf HTTP-POST fest.

10. Klicken Sie auf Speichern und dann auf Abbrechen , um die Konfiguration zu beenden.

Aktivieren der SAML-Verbindung

Nachdem Sie die SAML-Verbindung in Kandji und Ihrem Identitätsanbieter konfiguriert haben, können Sie sie aktivieren. Eine Schritt-für-Schritt-Anleitung finden Sie im  Abschnitt Aktivieren und Verwalten einer Verbindung in unserem Support-Artikel für Single Sign-On.

Erzwingen von Single Sign-On

Nachdem Sie mindestens eine Single Sign-On-Verbindung konfiguriert haben, können Sie die Standardauthentifizierungsverbindung deaktivieren. Durch das Deaktivieren Kandji Standardauthentifizierung wird die Möglichkeit für Kandji Administratoren in Ihrem Mandanten deaktiviert, sich per E-Mail/Kennwort, Google-Anmeldung oder Office 365-Anmeldung zu authentifizieren. Bitte beachten Sie unsere Supportartikel für Single Sign-On für eine Schritt-für-Schritt-Anleitung.

Hinzufügen eines Benutzers zu Kandji

1. Fügen Sie dem Admin-Team in Kandji einen Benutzer hinzu, indem Sie auf Neuer Benutzer klicken.

2. Geben Sie alle entsprechenden Benutzerinformationen ein. Dieser Nutzer muss in Google Workspace vorhanden sein und der Kandji SSO-App in Ihrem Google Workspace-Mandanten zugewiesen sein.

3. Klicken Sie auf Senden.

4. Sobald die Einladung gesendet wurde, schließen Sie das Fenster Benutzer einladen.

5. Aktualisieren Sie die Seite "Zugriff" in Kandji. Sie sollten den Benutzer sehen, den Sie gerade hinzugefügt haben.

6. Überprüfen Sie die E-Mail-Adresse des Benutzers, um die Einladung anzunehmen, und melden Sie sich mit der neuen SAML-SSO-Verbindung bei Kandji an.