Single Sign-On mit Microsoft Entra ID (SAML)

  • nP
  • EF
  • jD

Hinweis: Microsoft Entra ID ist der neue Name für Azure AD (Azure Active Directory)

Erstellen einer SAML-Verbindung 

  1. Navigieren Sie in Kandji zur Seite Einstellungen .

  2. Klicken Sie auf die Registerkarte Zugriff.

  3. Suchen Sie den Abschnitt Authentifizierung und klicken Sie auf die Schaltfläche Hinzufügen unten links im Authentifizierungsbereich.

  4. Wählen Sie im Bereich SSO-Verbindung hinzufügen die Option Benutzerdefiniertes SAML aus.

  5. Klicken Sie auf Weiter.

  6. Wählen Sie Erweiterte Details anzeigen aus.

  7. Kopieren Sie die URL des Assertion-Consumerdiensts, und speichern Sie sie zur späteren Verwendung in einem Textdokument.

  8. Kopieren Sie die Entitäts-ID , und speichern Sie sie ebenfalls.

     

  9. Lassen Sie diesen Browser-Tab geöffnet, während Sie mit den folgenden Anweisungen fortfahren. 

Hinzufügen der Kandji Anwendung zu Microsoft Entra ID

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Öffnen Sie das Portalmenü, und wählen Sie dann Identität aus.

  3. Wählen Sie im Menü Identität unter Anwendungen die Option Unternehmensanwendungen aus.

  4. Wählen Sie im Abschnitt Verwalten die Option Alle Anwendungen aus.

  5. Wählen Sie Neue Anwendung aus.

  6. Wählen Sie Eigene Anwendung erstellen aus.

  7. Geben Sie der Anwendung einen Namen.

  8. Wählen Sie Alle anderen Anwendungen integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie).

  9. Klicken Sie auf Erstellen

  10. Wählen Sie unter Verwalten die Option Einmaliges Anmelden aus.

  11. Klicken Sie auf SAML

  12. Klicken Sie auf den Stift Bearbeiten im Feld Grundlegende SAML-Konfiguration. 

  13. Klicken Sie auf den Link Bezeichner hinzufügen im Abschnitt Bezeichner (Entitäts-ID). Fügen Sie die Entitäts-ID, die Sie zuvor kopiert haben, in das Feld Kennung (Entitäts-ID) ein.

  14. Fügen Sie im Abschnitt Antwort-URL (Assertion Consumer Service URL) die Assertion Consumer Services-URL ein, die Sie zuvor kopiert haben.

  15. Klicken Sie auf Speichern.

  16. Klicken Sie auf das oben rechts im Fenster, um es zu schließen.

  17. Lassen Sie die Einstellungen im Abschnitt "Attribute & Ansprüche " auf die Standardeinstellungen eingestellt. 

  18. Klicken Sie auf Herunterladen , um das Base-64-Zertifikat im Abschnitt SAML-Zertifikate herunterzuladen. Dieses Zertifikat wird in der benutzerdefinierten SAML-Konfiguration in Kandji verwendet.

  19. Kopieren Sie im Abschnitt Setup [App-Name] die Anmelde-URL und die Abmelde-URL und fügen Sie sie zur späteren Verwendung in ein sicheres Textdokument ein. 

Zuweisen von Benutzern und Gruppen

  1. Wählen Sie unter Verwalten die Option Benutzer und Gruppen aus.

  2. Wählen Sie im Menü Benutzer/Gruppe hinzufügen aus. 

  3. Wählen Sie im Dialogfeld Zuweisung hinzufügen den Link unter Benutzer und Gruppen aus. 

  4. Eine Liste der Benutzer und Sicherheitsgruppen wird angezeigt. Sie können nach einem bestimmten Benutzer oder einer bestimmten Gruppe suchen und mehrere Benutzer und Gruppen auswählen, die in der Liste angezeigt werden.

  5. Nachdem Sie Ihre Benutzer und Gruppen ausgewählt haben, wählen Sie Auswählen aus. Wenn die folgende Meldung angezeigt wird, bedeutet dies, dass ein kostenloser Tarif verwendet wird. Mit der Single Sign-On Enterprise App können Sie nur Benutzer (keine Gruppen) hinzufügen. 

  6. Wählen Sie Zuweisen aus, um die Zuweisung von Benutzern und Gruppen zur App abzuschließen. 

  7. Vergewissern Sie sich, dass die Benutzer und Gruppen, die Sie hinzugefügt haben, in der Liste Benutzer und Gruppen angezeigt werden. 

Konfigurieren der SAML-Verbindung in Kandji

  1. Kehren Sie zum benutzerdefinierten SAML-Modal in Kandji zurück.

  2. Geben Sie der Verbindung einen Namen.

  3. Fügen Sie die Anmelde-URL ein, die Sie von Entra ID kopiert haben.

  4. Fügen Sie die Abmelde-URL ein, die Sie von Entra ID kopiert haben.

  5. Laden Sie das Zertifikat hoch, das Sie von Entra ID heruntergeladen haben.

  6. Stellen Sie sicher, dass das Benutzer-ID-Attribut auf den Standardwert von Folgendem festgelegt ist:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

  7. Stellen Sie sicher, dass Sign Request auf Ja festgelegt ist.

  8. Stellen Sie sicher, dass der Anforderungsalgorithmus auf RSA-SHA256 eingestellt ist.

  9. Stellen Sie sicher, dass Sign Request Algorithm Digest auf SHA 256 festgelegt ist.

  10. Legen Sie die Protokollbindung auf HTTP-POST fest.

  11. Klicken Sie auf Speichern und dann auf Abbrechen, um die Konfiguration zu beenden.

Aktivieren der SAML-Verbindung

Nachdem Sie die SAML-Verbindung in Kandji und Ihrem Identitätsanbieter konfiguriert haben, können Sie sie aktivieren. Eine Schritt-für-Schritt-Anleitung finden Sie im Abschnitt Aktivieren und Verwalten einer Verbindung in unserem Support-Artikel für Single Sign-On .

Erzwingen von Single Sign-On

Nachdem Sie mindestens eine Single Sign-On-Verbindung konfiguriert haben, können Sie die Standardauthentifizierungsverbindung deaktivieren. Dadurch wird die Möglichkeit für Kandji Administratoren in Ihrem Mandanten entfernt, sich per E-Mail/Kennwort, Google-Anmeldung oder Office 365-Anmeldung zu authentifizieren.

Hinzufügen eines Benutzers zu Kandji

  1. Fügen Sie dem Admin-Team in Kandji einen Benutzer hinzu, indem Sie auf Neuer Benutzer klicken.

  2. Geben Sie alle entsprechenden Benutzerinformationen ein. Dieser Benutzer muss in Microsoft Entra ID vorhanden sein und der Kandji SSO-App in Ihrem Microsoft Entra ID-Mandanten zugewiesen sein.

  3. Klicken Sie auf Senden.

  4. Sobald die Einladung gesendet wurde, schließen Sie das Fenster Benutzer einladen.

  5. Aktualisieren Sie die Seite "Zugriff" in Kandji. Sie sollten den Benutzer sehen, den Sie gerade hinzugefügt haben.

  6. Überprüfen Sie die E-Mail-Adresse des Benutzers, um die Einladung anzunehmen, und melden Sie sich mit der neuen SAML-SSO-Verbindung bei Kandji an.