Single Sign-On mit JumpCloud (SAML)

Erstellen einer SAML-Verbindung 

1. Navigieren Sie in Kandji zur Seite Einstellungen .

2. Klicken Sie auf die Registerkarte Zugriff.

3. Suchen Sie den Abschnitt Authentifizierung und klicken Sie auf die Schaltfläche Hinzufügen unten links im Authentifizierungsbereich.

4. Wählen Sie im Bereich SSO-Verbindung hinzufügen die Option Benutzerdefiniertes SAML aus.

5. Klicken Sie auf Weiter.

6. Wählen Sie Erweiterte Details anzeigen aus.

7. Kopieren Sie die URL des Assertion-Consumerdiensts, und speichern Sie sie zur späteren Verwendung in einem Textdokument.

8. Kopieren Sie die Entitäts-ID, und speichern Sie sie ebenfalls.

    

9. Lassen Sie diesen Browser-Tab geöffnet, während Sie mit den folgenden Anweisungen fortfahren. 

Fügen Sie die Kandji Anwendung zu JumpCloud hinzu

1. Melden Sie sich bei console.jumpcloud.com/login/admin an und wählen Sie in der linken Navigationsleiste im Abschnitt Benutzerauthentifizierung die Option SSO-Anwendungen aus.

2. Klicken Sie auf die kreisförmige Schaltfläche + oder, wenn dies Ihre erste Anwendung ist, klicken Sie auf Erste Schritte.

3. Klicken Sie am unteren Bildschirmrand in der Kachel Benutzerdefinierte Anwendung auf Auswählen. Klicken Sie dann auf Weiter.

    

4. Wählen Sie auf der Registerkarte Optionen auswählen die folgenden Optionen aus. 

   • Verwalten von Single Sign-On (SSO)

   • Konfigurieren von SSO mit SAML

5. Klicken Sie auf Weiter.

6. Gehen Sie auf der Registerkarte Allgemeine Informationen eingeben wie folgt vor:

   1. Fügen Sie einen Namen für die Anzeigebeschriftung hinzu.

   2. Fügen Sie bei Bedarf eine Beschreibung hinzu.

   3. Wählen Sie entweder einen Farbindikator aus, oder laden Sie ein Logo für das Display-Portalbild hoch.

   4. Optional können Sie die Anwendung im Benutzerportal anzeigen.

   5. Maximieren Sie das Dreiecksymbol neben den erweiterten Einstellungen.

   6. Geben Sie im Feld SSO IdP URL kandji ein. Die vollständige URL sollte lautenhttps://sso.jumpcloud.com/saml2/kandji

   7. Klicken Sie auf Anwendung speichern.

7. Nachdem Sie Ihre Anwendung gespeichert haben, klicken Sie auf Anwendung konfigurieren.

8. Auf der Registerkarte SSO des Konfigurationsmodals:

   1. Kopieren Sie die Entitäts-ID aus Kandji, die Sie zuvor gespeichert haben, und fügen Sie sie in die Felder IdP-Entitäts-ID und SP-Entitäts-ID in JumpCloud ein.

   2. Kopieren Sie die Assertion Consumer Service-URL aus Kandji, die Sie zuvor gespeichert haben, und fügen Sie sie in das Feld ACS-URL ein.

   3. Lassen Sie die SAML-Betreff-NameID auf E-Mail festgelegt.

   4. Wählen Sie im Feld SAMLSubject NameID-Format die Option urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress aus dem Dropdown-Menü aus.

   5. Legen Sie den Signaturalgorithmus auf RSA-SHA256 fest.

   6. Wählen Sie Assertion signieren aus.

   7. Stellen Sie sicher, dass die IDP-URL https://sso.jumpcloud.com/saml2/kandji ist. Wenn dies nicht der Fall ist, müssen Sie die Integration löschen und eine neue erstellen. Kopieren Sie diese URL, und speichern Sie sie, um sie später in Kandji zu verwenden.

   8. Klicken Sie auf Speichern.

9. Nach dem Speichern können Sie in die konfigurierte Anwendung zurückkehren, zur linken Menüleiste des Modals navigieren und auf IdP-Zertifikat gültig klicken. Wählen Sie Zertifikat herunterladen aus, wenn die Zertifikatoptionen angezeigt werden. Es wird später in Kandji verwendet.

10. Auf der Registerkarte Benutzergruppen:

    • Fügen Sie der SSO-Anwendung eine Benutzergruppe hinzu. Wenn Sie einschränken möchten, wer auf die SSO-App zugreifen kann, erstellen Sie eine weitere Benutzergruppe in Ihrer JumpCloud-Konsole und weisen Sie sie der SSO-App zu. 

Konfigurieren der SAML-Verbindung in Kandji

1. Kehren Sie zum benutzerdefinierten SAML-Modal in Kandji zurück.

2. Geben Sie der Verbindung einen Namen.

3. Fügen Sie die Anmelde-URL ein, die Sie von JumpCloud kopiert haben: https://sso.jumpcloud.com/saml2/kandji.

4. Laden Sie das Zertifikat hoch, das Sie von JumpCloud heruntergeladen haben.

5. Stellen Sie sicher, dass das Benutzer-ID-Attribut auf den Standardwert von Folgendem festgelegt ist:

   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

6. Stellen Sie sicher, dass Sign Request auf Ja festgelegt ist.

7. Stellen Sie sicher, dass der Anforderungsalgorithmus auf RSA-SHA256 eingestellt ist.

8. Stellen Sie sicher, dass Sign Request Algorithm Digest auf SHA 256 festgelegt ist.

9. Legen Sie die Protokollbindung auf HTTP-POST fest.

10. Klicken Sie auf Speichern und dann auf Abbrechen, um die Konfiguration zu beenden.

Aktivieren der SAML-Verbindung

Nachdem Sie die SAML-Verbindung in Kandji und Ihrem Identitätsanbieter konfiguriert haben, können Sie sie aktivieren. Eine Schritt-für-Schritt-Anleitung finden Sie im Abschnitt Aktivieren und Verwalten einer Verbindung in unserem Support-Artikel für Single Sign-On.

Erzwingen von Single Sign-On

Sie können die Standardauthentifizierungsverbindung deaktivieren, sobald Sie mindestens eine Single Sign-On-Verbindung konfiguriert haben. Durch das Deaktivieren Kandji Standardauthentifizierung wird die Möglichkeit für Kandji Administratoren in Ihrem Mandanten deaktiviert, sich per E-Mail/Kennwort, Google-Anmeldung oder Office 365-Anmeldung zu authentifizieren. Bitte beachten Sie unsere Supportartikel für Single Sign-On für eine Schritt-für-Schritt-Anleitung.

Hinzufügen eines Benutzers zu Kandji

1. Fügen Sie dem Admin-Team in Kandji einen Benutzer hinzu, indem Sie auf Neuer Benutzer klicken.

2. Geben Sie alle entsprechenden Benutzerinformationen ein. Dieser Benutzer muss in JumpCloud vorhanden sein und der Kandji SSO-App in Ihrem JumpCloud-Mandanten zugewiesen sein.

3. Klicken Sie auf Senden.

4. Sobald die Einladung gesendet wurde, schließen Sie das Fenster Benutzer einladen.

5. Aktualisieren Sie die Seite "Zugriff" in Kandji. Sie sollten den Benutzer sehen, den Sie gerade hinzugefügt haben.

6. Überprüfen Sie die E-Mail-Adresse des Benutzers, um die Einladung anzunehmen, und melden Sie sich mit der neuen SAML-SSO-Verbindung bei Kandji an.