Configuración de Requerir autenticación para la inscripción

  • CJ
  • EF
  • CW

¿Qué es Requerir autenticación?

Requerir autenticación es una configuración de inscripción que permite a los administradores forzar la autenticación del usuario a través de un proveedor de identidad (IdP) antes de continuar con la inscripción del dispositivo. Los administradores pueden hacer coincidir el usuario de IdP autenticado con un usuario de su IdP y asignar el usuario coincidente al registro del dispositivo automáticamente.

Cómo funciona Requerir autenticación

Después de configurar una conexión de inicio de sesión único (SSO) en Kandji y asignarla a un Device Enrollment Library Item o Blueprint automatizado en la página Inscripción, los usuarios deberán autenticarse a través de un IdP para inscribir sus dispositivos con Kandji. Kandji administradores pueden optar por asignar automáticamente a los usuarios a los registros del dispositivo en función de las coincidencias de correo electrónico.

En el caso de las configuraciones de /va que requieren autenticación, los administradores pueden rellenar previamente y bloquear los detalles de la cuenta durante la configuración.

Prerrequisitos

Configuración de requerir autenticación con Automated Device Enrollment

  1. Vaya a Library en la barra de navegación de la izquierda.

  2. Haga clic en Agregar nuevo en la parte superior derecha y elija Acceso a accesorios y almacenamiento.

  3. Haga clic en Agregar y configurar.

  4. Asigne un nombre al nuevo Library Item de Automated Device Enrollment

  5. Asigne a su Assignment Maps o Classic Blueprints deseado.

  6. Marque la casilla Requerir autenticación.

  7. Seleccione una conexión SSO.

  8. Opcionalmente, Asignar usuario al registro del dispositivo

    • Al habilitar esta opción, se intentará hacer coincidir el usuario autenticado por el proveedor de identidad con un usuario que exista en las integraciones del directorio de usuarios. Si la dirección de correo electrónico del usuario IdP autenticado coincide con la dirección de correo electrónico de su directorio integrado, el usuario se asignará al dispositivo.

  9. Para rellenar previamente la información inicial de la cuenta de usuario para que coincida con su IdP, seleccione Rellenar previamente los detalles de la cuenta principal.

  10. Para asegurarse de que el usuario no pueda cambiar la información inicial de su cuenta, seleccione Bloquear detalles de la cuenta principal

  11. Configure el resto de su Library Item de Automated Device Enrollment  como desee y haga clic en Guardar.

Configuración de la autenticación necesaria con inscripción manual

  1. Seleccione Inscripción en la barra de navegación.

  2. Vaya a la pestaña Inscripción manual .

  3. Desplácese hacia abajo hasta el Blueprint deseado y marque la casilla Requerir autenticación.

  4. Si lo desea, marque la casilla Asignar usuario al registro del dispositivo

Consideraciones

  • Si también va a implementarPassport, debe anular la selección de las opciones Detalles de creación de cuenta inicial de relleno previo y Detalles de creación de cuenta de relleno previo de bloqueo. El uso de la configuración de prellenado y bloqueo mientras se omite la creación de la cuenta, como se recomienda con Passport, causará un conflicto en la creación de la cuenta y dará lugar a un error del Asistente de configuración que requiere que se borre la Mac.

  • Si es necesario autenticar y utilizar Google Workspace como proveedor de identidad, la entrada de inicio de sesión único debe crearse mediante SAML personalizado, ya que la integración integrada de Google Workspace dará lugar a un error 403 al inscribirse.

  • No es necesario que una conexión SSO esté activa en Configuración > acceso para requerir autenticación dentro de la inscripción Automated Device Enrollment o manual. Una conexión solo debe estar activa en la configuración si desea autenticar a Kandji administradores en la aplicación web con esa conexión.

  • La conexión de autenticación seleccionada es la conexión SSO utilizada para autenticar al usuario. Cualquier usuario asignado a la "Aplicación" dentro del Proveedor de Identidad puede completar la inscripción.

  • Puede usar la misma conexión (generalmente conocida como una aplicación dentro del proveedor de identidades) que usa para que sus Kandji miembros del equipo se autentiquen en su inquilino Kandji o configurar una conexión/aplicación completamente nueva dentro de Kandji y su proveedor de identidades específicamente para la inscripción de dispositivos. 

  • Si elige utilizar la misma conexión/aplicación, tenga en cuenta que los usuarios finales pueden ver la aplicación Kandji dentro del catálogo de aplicaciones de su proveedor de identidad. La asignación de usuarios a la aplicación no les otorgará derechos administrativos en Kandji.