Inicio de sesión único con Microsoft Entra ID (SAML)

  • EF

Nota: Microsoft Entra ID es el nuevo nombre de Azure AD (Azure Active Directory)

Crear una conexión SAML

  1. En Kandji, vaya a la página Configuración .

  2. Haga clic en la pestaña Acceso .

  3. Busque la sección Autenticación y haga clic en el botón Agregar en la parte inferior izquierda de la sección de autenticación.

  4. En el panel Agregar conexión SSO, seleccione la opción SAML personalizado.

  5. Haga clic en Siguiente.

  6. Seleccione Mostrar detalles avanzados.

  7. Copie la dirección URL del servicio de consumidor de aserciones y guárdela en un documento de texto para su uso posterior.

  8. Copie el ID de entidad y guárdelo también.

     

  9. Deje abierta esta pestaña del navegador mientras continúa con las instrucciones a continuación. 

Agregar la aplicación Kandji al identificador de Microsoft Entra

  1. Inicie sesión en el Centro de administración de Microsoft Entra.

  2. Abra el menú del portal y, a continuación, seleccione Identidad.

  3. En el menú Identidad , en Aplicaciones, seleccione Aplicaciones empresariales.

  4. En la sección Administrar , seleccione Todas las aplicaciones.

  5. Seleccione Nueva aplicación.

  6. Seleccione Crear su propia aplicación.

  7. Asigne un nombre a la aplicación.

  8. Seleccione Integrar cualquier otra aplicación que no encuentre en la galería (No galería).

  9. Haga clic en Crear

  10. En Administrar, seleccione Inicio de sesión único.

  11. Haga clic en SAML. 

  12. Haga clic en el lápiz Editar en el cuadro de configuración de SAML básico. 

  13. Haga clic en el enlace Agregar identificador en la sección Identificador (ID de entidad). Pegue el ID de entidad que copió anteriormente en el campo Identificador (ID de entidad).

  14. En la sección URL de respuesta (URL del servicio de aserción al consumidor), pegue la dirección URL de los servicios de aserción al consumidor que copió anteriormente.

  15. Haga clic en Guardar.

  16. Haga clic en la en la parte superior derecha del panel para cerrarlo.

  17. Deje la configuración de la sección Atributos y notificaciones establecida en su valor predeterminado. 

  18. Haga clic en Descargar para descargar el certificado Base 64 en la sección Certificados SAML. Este certificado se utilizará en la configuración de SAML personalizada en Kandji.

  19. En la sección Configuración [Nombre de la aplicación], copie la URL de inicio de sesión y la URL de cierre de sesión y péguelas en un documento de texto seguro para su uso posterior. 

Asignar usuarios y grupos

  1. En Administrar, seleccione Usuarios y grupos.

  2. En el menú, seleccione Agregar usuario/grupo

  3. En el cuadro de diálogo Agregar asignación , seleccione el vínculo en Usuarios y grupos

  4. Se muestra una lista de usuarios y grupos de seguridad. Puede buscar un determinado usuario o grupo, así como seleccionar varios usuarios y grupos que aparezcan en la lista.

  5. Una vez que haya seleccionado los usuarios y grupos, seleccione SeleccionarSi ve el mensaje a continuación, significa que se está utilizando un nivel gratuito. La aplicación Single Sign-On Enterprise solo le permite agregar usuarios (no grupos). 

  6. Seleccione Asignar para terminar de asignar usuarios y grupos a la aplicación. 

  7. Confirme que los usuarios y grupos que ha agregado aparecen en la lista Usuarios y grupos 

Configure la conexión SAML en Kandji

  1. Vuelva al modal SAML personalizado en Kandji.

  2. Asigne un nombre a la conexión.

  3. Pega la URL de inicio de sesión que copiaste de Entra ID.

  4. Pega la URL de cierre de sesión que copiaste de Entra ID.

  5. Cargue el certificado que descargó de Entra ID.

  6. Asegúrese de que el atributo de ID de usuario esté establecido en el valor predeterminado de:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

  7. Asegúrese de que Solicitud de firma esté establecido en .

  8. Asegúrese de que el algoritmo de solicitud esté establecido en RSA-SHA256.

  9. Asegúrese de que el resumen del algoritmo de solicitud de firma esté establecido en SHA 256.

  10. Establezca el enlace de protocolo en HTTP-POST.

  11. Haga clic en Guardar y, a continuación, haga clic en Cancelar para salir de la configuración.

Habilitación de la conexión SAML

Una vez que haya configurado la conexión SAML en Kandji y su proveedor de identidad, puede habilitarla. Para obtener instrucciones paso a paso, consulte la sección Habilitar y administrar una conexión en nuestro artículo de soporte de inicio de sesión único .

Aplicación del inicio de sesión único

Una vez que haya configurado al menos una conexión de inicio de sesión único, puede deshabilitar la conexión de autenticación estándar. Al hacerlo, se eliminará la capacidad de Kandji administradores del inquilino para autenticarse mediante correo electrónico o contraseña, Inicio de sesión de Google o inicio de sesión de Office 365.

Agregar un usuario a Kandji

  1. Agregue un usuario al equipo de administración en Kandji haciendo clic en Nuevo usuario.

  2. Rellene toda la información de usuario correspondiente. Este usuario debe existir en el identificador de Microsoft Entra y debe estar asignado a la aplicación de inicio de sesión único Kandji en el inquilino del identificador de Microsoft Entra.

  3. Haga clic en Enviar.

  4. Una vez enviada la invitación, cierre la ventana Invitar usuario.

  5. Actualice la página Acceso en Kandji. Deberías ver el usuario que acabas de agregar.

  6. Compruebe el correo electrónico del usuario para aceptar la invitación e inicie sesión en Kandji con la nueva conexión SSO de SAML.