Single Sign-On mit Microsoft Entra ID (nativ)

  • nP
  • EF

von Katelyn Husvar

Da geheime Clientschlüssel eine maximale Lebensdauer von 24 Monaten haben, wird empfohlen, SAML-basiertes Single Sign-On zu konfigurieren , anstatt die in diesem Dokument beschriebene Methode zu verwenden.

  1. Melden Sie sich bei der Microsoft Entra Admin Center.

  2. Klicken Sie in der linken Navigationsleiste auf Anwendungen.

  3. Klicken Sie auf App-Registrierungen

  4. Klicken Sie auf Neue Registrierung, um eine neue Anwendung zu registrieren. 

  5. Geben Sie im Feld Name einen Namen für die Anwendung an (z. B. "Kandji Natives SSO").

  6. Wählen Sie unter "Unterstützte Kontotypen" die Option Nur Konten in diesem Organisationsverzeichnis aus.

  7. Wählen Sie im Feld Umleitungs-URI die Option Web aus dem Dropdown-Menü aus, und geben Sie einen der folgenden Werte ein, je nachdem, wo Ihr Kandji Mandant gehostet wird.

    • Wenn Ihr Mandant in den USA gehostet wird, verwenden Sie den folgenden URI:

      https://auth.kandji.io/login/callback
      Bash

    • Wenn Ihr Mandant in der EU gehostet wird, verwenden Sie den folgenden URI:

      https://auth.eu.kandji.io/login/callback
      Bash

  8. Klicken Sie auf Registrieren. 

  9. Kopieren Sie auf der neuen Seite die Client-ID, und speichern Sie diese für später. 

  10. Klicken Sie auf Zertifikate und Geheimnisse.

  11. Klicken Sie auf "Neuer geheimer Clientschlüssel".

  12. Geben Sie dem geheimen Clientschlüssel einen Namen, z. B. "Kandji Natives SSO".

  13. Legen Sie das Ablaufdatum auf 24 Monate fest.

  14. Klicken Sie auf Hinzufügen.

  15. Kopieren Sie den Wert des geheimen Clientschlüssels, und speichern Sie ihn für später. Beachten Sie, dass sich der Wert des geheimen Clientschlüssels von der ID des geheimen Clientschlüssels unterscheidet. 

  1. Navigieren Sie zur Seite Einstellungen.

  2. Klicken Sie auf die Registerkarte Zugriff.

  3. Suchen Sie den Abschnitt Authentifizierung. Wenn dieser Abschnitt derzeit nicht vorhanden ist, ist SSO für Ihren Mandanten nicht aktiviert.

  4. Klicken Sie auf die Schaltfläche Hinzufügen unten links in der Authentifizierungstabelle.

  5. Klicken Sie auf dem neuen Blatt auf die Verbindungsoption Microsoft Entra ID

  6. Klicken Sie auf Weiter

  7. Passen Sie den Standardnamen für die Entra-Verbindung an oder verwenden Sie ihn (dieser wird auf der Anmeldeseite angezeigt).

  8. Geben Sie die Entra ID Directory Domain ein, in der die Anwendung registriert wurde. Lesen Sie in der Microsoft-Dokumentation nach, um den Domänennamen Ihres Verzeichnisses zu finden.

  9. Geben Sie die Client-ID ein, die Sie zuvor aus dem Entra Admin Center kopiert haben.

  10. Geben Sie den geheimen Clientschlüssel ein, den Sie zuvor aus dem Entra Admin Center kopiert haben.

  11. Klicken Sie auf Speichern. 

  12. Nach dem Speichern wird ein neues Dialogfeld mit einem Link zur Autorisierung Ihrer Verbindung angezeigt. Ein Microsoft Entra ID-Administrator für Ihre Domain muss auf den Link klicken und diesen Vorgang abschließen, um die Anwendung zu autorisieren. Dieses Feld verschwindet nicht, nachdem die Autorisierung abgeschlossen ist. 

  13. Melden Sie sich im neuen Fenster, das geöffnet wird, an und klicken Sie auf Akzeptieren 

  14. Nachdem Sie auf Akzeptieren geklickt haben, werden Sie zu einer Erfolgsseite für die Autorisierung weitergeleitet. 

  15. Ihre Verbindung wurde nun erfolgreich konfiguriert und kann aktiviert und getestet werden. 

Wenn der Fehler "Fehler beim Abrufen des Zugriffstokens" auftritt, kann dies daran liegen, dass die geheime ID anstelle des richtigen Werts verwendet wurde.

Nachdem Sie die SAML-Verbindung in Kandji und Ihrem Identitätsanbieter konfiguriert haben, können Sie sie aktivieren. Eine Schritt-für-Schritt-Anleitung finden Sie in unserem Support-Artikel zum Single Sign-On

Nachdem Sie mindestens eine Single Sign-On-Verbindung konfiguriert haben, können Sie die Verbindung mit der Standardauthentifizierung deaktivieren. Durch das Deaktivieren Kandji Standardauthentifizierung wird die Möglichkeit für Kandji Administratoren in Ihrem Mandanten deaktiviert, sich per E-Mail/Kennwort, Google-Anmeldung oder Office 365-Anmeldung zu authentifizieren. Bitte lesen Sie unseren Support-Artikel für Single Sign-On für eine Schritt-für-Schritt-Anleitung.

  1. Führen Sie die Schritte 9 bis 14 im Abschnitt Create a Microsoft Entra ID Application dieses Artikels aus, um einen neuen geheimen Clientschlüssel zu erstellen, und kopieren Sie den Wert, wie in Schritt 14 gezeigt.

  2. Navigieren Sie in der Kandji Web-App zur Seite Einstellungen.

  3. Klicken Sie auf die Registerkarte Zugriff.

  4. Suchen Sie den Abschnitt Authentifizierung.

  5. Klicken Sie auf die Auslassungspunkte neben der SSO-Integration, die weiter oben in diesem Artikel erstellt wurde, und wählen Sie Configure aus.

  6. Ersetzen Sie den geheimen Clientschlüssel durch den Wert des geheimen Clientschlüssels, der zuvor kopiert wurde.

  7. Klicken Sie auf Speichern.

Stellen Sie sicher, dass Sie die Konfiguration testen, indem Sie sich bei der Kandji Web-App anmelden und die erstellte Anmeldeoption Native SSO auswählen. Sie sollten dies mit einem privaten Browserfenster/Inkognito-Fenster testen und sicherstellen, dass Sie sich bei der Kandji Web-App anmelden können. Sie können dann optional den vorherigen geheimen Clientschlüssel aus der App-Registrierung in Entra ID löschen.