認証要求とは?
[認証要求] は、管理者がデバイスの登録を続行する前に ID プロバイダー (IdP) を介したユーザー認証を強制できるようにする登録設定です。管理者は、認証された IdP ユーザーを IdP 内のユーザーと照合し、一致したユーザーをデバイスレコードに自動的に割り当てることができます。
認証要求のしくみ
Kandji でシングルサインオン (SSO) 接続を構成し、登録ページで自動デバイス登録Library ItemまたはBlueprintに割り当てた後、ユーザーはデバイスをKandjiに登録するために IdP を介して認証する必要があります。Kandji管理者は、メールアドレスの一致に基づいてユーザーをデバイスレコードに自動的に割り当てることを選択できます。
認証が必要な自動デバイス登録構成の場合、管理者はセットアップ中にアカウントの詳細を事前入力およびロックできます。
前提条件
[設定] > [アクセス] で機能している SSO構成 。
自動デバイス登録による認証要求の設定
左側のナビゲーションバーで [ライブラリ]に移動します。
右上の「新規追加」をクリックし、「自動デバイス登録構成」を選択します。
「追加と設定」をクリックします。
新しい自動デバイス登録Library Itemに名前を付けます。
ご希望の Assignment Maps または Classic Blueprintsに割り当てます。
[認証要求] のチェックボックスをオンにします。
SSO接続を選択します。
必要に応じて、 ユーザーをデバイスレコードに割り当てます。
このオプションを有効にすると、ID プロバイダーによって認証されたユーザーと、ユーザーディレクトリ統合に存在するユーザーの照合が試行されます。認証されたIdPユーザーのメールアドレスが統合されたディレクトリのメールアドレスと一致する場合、ユーザーはデバイスに割り当てられます。
IdP と一致するようにユーザーの初期アカウント情報を事前入力するには、[初期アカウントの詳細を事前入力] を選択します。
ユーザーが初期アカウント情報を変更できないようにするには、[事前入力されたアカウント作成の詳細をロック] を選択します。
必要に応じて自動デバイス登録Library Item の残りの部分を構成し、[保存] をクリックします。
手動登録による認証要求の設定
ナビゲーション バーで [登録] を選択します。
[手動登録] タブに移動します。
目的の Blueprint まで下にスクロールし、[ 認証が必要]のチェックボックスをオンにします。
必要に応じて、 ユーザーをデバイスレコードに割り当てるチェックボックスをオンにします。
.png)
考慮事項
Passportもデプロイする場合は、「初期アカウントの詳細を事前入力 」オプションと「事前入力されたアカウント作成の詳細をロック 」オプションの選択を解除する必要があります 。Passportで推奨されているように、アカウントの作成をスキップして事前入力とロック設定を使用すると、アカウント作成の競合が発生し、Macの消去が必要なセットアップアシスタントエラーが発生します。
IDプロバイダーとして Google Workspace を使用し、認証を要求する場合は、組み込みの Google Workspace 統合は登録時に403 エラーが発生するため、カスタムSAMLを使用してシングルサインオンエントリを作成する必要があります。
SSO 接続は、自動デバイス登録または手動登録内の認証を要求するために、[設定] > [アクセス] でアクティブにする必要はありません。接続を [アクティブ] にする必要があるのは、その接続を使用して Web アプリで Kandji 管理者を認証する場合のみです。
選択した認証接続は、ユーザーの認証に使用される SSO 接続です。IDプロバイダー内の「アプリケーション」に割り当てられたすべてのユーザーは、登録を完了できます。
Kandji チーム メンバーがKandji テナントへの認証に使用する接続 (一般的に IDプロバイダー内でアプリケーションと呼ばれます) と同じものを使用することも、Kandji および ID プロバイダー内でデバイス登録専用のまったく新しい接続/アプリケーションを構成することもできます。
同じ接続/アプリケーションを使用することを選択した場合、エンドユーザーには、IDプロバイダーのアプリケーションカタログ内に Kandji アプリケーションが表示される可能性があることに注意してください。アプリケーションをユーザーに割り当てても、 Kandjiの管理権限は付与されません。