Single Sign-On mit Okta (SAML)

  • nP
  • jD

Erstellen einer SAML-Verbindung 

  1. Navigieren Sie in Kandji zur Seite Einstellungen.

  2. Klicken Sie auf die Registerkarte Zugriff.

  3. Suchen Sie den Abschnitt Authentifizierung, und klicken Sie unten links im Authentifizierungsabschnitt auf die Schaltfläche Hinzufügen (wenn dieser Abschnitt nicht angezeigt wird, ist SSO für Ihren Mandanten nicht aktiviert).

  4. Wählen Sie im Bereich SSO-Verbindung hinzufügen die Option Benutzerdefinierte SAML aus.

  5. Klicken Sie auf Weiter.

  6. Wählen Sie Erweiterte Details anzeigen aus. 

  7. Kopieren Sie die URL des Assertion-Consumerdiensts, und speichern Sie sie zur späteren Verwendung in einem Textdokument.

  8. Kopieren Sie die Entitäts-ID, und speichern Sie sie ebenfalls.

  9. Lassen Sie diesen Browser-Tab geöffnet, während Sie mit den folgenden Anweisungen fortfahren.

Konfigurieren der Kandji App in Okta

  1. Melden Sie sich in einem neuen Browser-Tab bei Ihrem Okta-Mandanten an

  2. Klicken Sie auf der linken Seite auf das Einblendendreieck neben Anwendungen

  3. Klicken Sie auf Anwendungen

  4. Klicken Sie auf App-Integration

  5. Wählen Sie SAML 2.0 als App-Integrationstyp aus und klicken Sie auf Weiter 

  6. Geben Sie einen App-Namen ein

  7. Hochladen eines optionalen App-Logos

  8. Klicken Sie auf Weiter 

  9. Fügen Sie im Feld Single Sign-On-URL die Kandji Assertion Consumer Service-URL ein, die zuvor kopiert wurde

  10. Fügen Sie im Feld Zielgruppen-URI (SP-Entitäts-ID) die Kandji Entitäts-ID ein, die zuvor kopiert wurde

  11. Stellen Sie sicher, dass das Namens-ID-Format auf Nicht angegeben festgelegt ist

  12. Stellen Sie sicher, dass der Anwendungsbenutzername auf Okta-Benutzername festgelegt ist.

  13. Stellen Sie sicher, dass der Anwendungsbenutzername aktualisieren für auf Erstellen und Aktualisieren festgelegt ist

  14. Wählen Sie Weiter 

  15. Wählen Sie "Ich bin Okta-Kunde, der eine interne App hinzufügt" aus.

  16. Wählen Sie Dies ist eine interne App, die wir erstellt haben.

  17. Klicken Sie auf Fertig stellen. 

  18. Suchen Sie auf der Registerkarte "Anmelden" den Link zum Anzeigen von SAML-Setup-Anweisungen und öffnen Sie ihn in einem neuen Browser-Tab. 

  19. Kopieren Sie die Single Sign-On-URL und speichern Sie sie in einem Textdokument für die spätere Verwendung in Kandji

  20. Laden Sie die Zertifikatsdatei herunter und speichern Sie sie zur Verwendung in Kandji 

Hinzufügen eines Testbenutzers zur Okta-App

  1. Kehren Sie zur Okta-App zurück und klicken Sie auf die Registerkarte Zuweisungen 

  2. Klicken Sie auf das Dropdown-Menü "Zuweisen" und dann auf "Personen zuweisen"

  3. Suchen Sie nach einem Testbenutzer, der zugewiesen werden soll

  4. Sobald der Benutzer zugewiesen ist, klicken Sie auf Fertig

  5. Sie sollten den Benutzer sehen, den Sie in der Liste ausgewählt haben

Konfigurieren der SAML-Verbindung in Kandji

  1. Gehen Sie zurück zur benutzerdefinierten SAML-Integration in Kandji

  2. Geben Sie der Verbindung einen Namen

  3. Fügen Sie die Single Sign-On-URL, die Sie von Okta kopiert haben, in das Textfeld Anmelde-URL ein

  4. Laden Sie das Okta-Zertifikat hoch, das Sie zuvor heruntergeladen haben

  5. Stellen Sie sicher, dass das Benutzer-ID-Attribut auf den Standardwert von

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

  6. Stellen Sie sicher, dass Signanforderung auf Ja festgelegt ist

  7. Stellen Sie sicher, dass der Anforderungsalgorithmus auf RSA-SHA256 eingestellt ist.

  8. Stellen Sie sicher, dass der Sign-Request-Algorithmus-Digest auf SHA 256 festgelegt ist.

  9. Festlegen der Protokollbindung auf HTTP-Redirect

  10. Speichern Sie die Verbindung, und klicken Sie auf Abbrechen, um den Konfigurationsbereich zu schließen

Aktivieren der SAML-Verbindung

Nachdem Sie die SAML-Verbindung sowohl in Kandji als auch bei Ihrem Identitätsanbieter konfiguriert haben, können Sie die Verbindung nun aktivieren. Eine Schritt-für-Schritt-Anleitung finden Sie im Abschnitt Aktivieren und Verwalten einer Verbindung in unserem Support-Artikel für Single Sign-On

Erzwingen von Single Sign-On

Nachdem Sie mindestens eine Single Sign-On-Verbindung konfiguriert haben, können Sie die Standardauthentifizierungsverbindung deaktivieren. Durch das Deaktivieren Kandji Standardauthentifizierung wird die Möglichkeit für Kandji Administratoren in Ihrem Mandanten deaktiviert, sich per E-Mail/Kennwort, Google-Anmeldung oder Office 365-Anmeldung zu authentifizieren. Eine Schritt-für-Schritt-Anleitung finden Sie in unserem Support-Artikel für Single Sign-On .

Hinzufügen eines Testbenutzers zu Kandji

  1. Fügen Sie dem Admin-Team in Kandji einen Testbenutzer hinzu, indem Sie auf Neuer Benutzer klicken

  2. Geben Sie alle entsprechenden Benutzerinformationen ein. Dieser Benutzer muss in Okta vorhanden sein und der Okta-SSO-App in Ihrem Okta-Mandanten zugewiesen sein

  3. Klicken Sie auf Senden

  4. Sobald die Einladung gesendet wurde, schließen Sie das Fenster Benutzer einladen

  5. Aktualisieren Sie die Seite "Zugriff" in Kandji. Sie sollten den Benutzer sehen, der gerade hinzugefügt wurde

  6. Rufen Sie die E-Mail-Adresse des Benutzers auf, um die Einladung anzunehmen, und melden Sie sich mit der neuen SAML-SSO-Verbindung an.