SAML 接続 の作成
Kandjiで、[設定] ページに移動します。
[アクセス ] タブをクリックします。
[認証 ]セクションを見つけて、左下の[追加]ボタンをクリックします。
新しいウィンドウで、[ カスタム SAML] をクリックします。
「次へ」をクリックします。
「詳細を表示」をクリックします。
アサーション コンシューマ サービスの URL をテキストドキュメントにコピーして、後で使用できるようにします。
エンティティ ID をテキストドキュメントにコピーして、後で使用できるようにします。
このタブを開いたまま、下記の手順に沿って Google Workspace 管理コンソールに進みます。
Kandji アプリケーションを Google Workspace に追加する
新しいブラウザタブで、Google Workspace 管理者アカウントで admin.google.com にログインします。
左上のメニュー記号をクリックします。
[アプリ] を選択します。
[ Web アプリとモバイル アプリ] を選択します。
[ アプリの追加 ] ドロップダウンをクリックします。
[カスタム SAML アプリの追加] を選択します。
[アプリの詳細 ] ページで、次の操作を行います。
アプリ名を設定します。
必要に応じて、 説明を追加します。
オプションのアプリアイコンをアップロードします。
「続行」をクリックします。
[Google ID プロバイダの詳細] ページで、[オプション 2: SSO URL、エンティティ ID、証明書をコピーする] を使用します。
SSO URL をコピーし、後で使用するためにテキストドキュメントに保存します。
証明書をダウンロードして保存します。
「続行」をクリックします。
[サービスプロバイダーの詳細] ページで、次の操作を行います。
[ACS URL] フィールドに、 先ほどコピーした Kandji アサーション コンシューマ サービス URL を貼り付け ます。
先ほどコピーした Kandji エンティティIDをエンティティ ID フィールドに貼り付けます。
「署名済みレスポンス」オプションがオンになっていることを確認します。
[名前 ID 形式] を [UNSPECIFIED] に設定します。
[NameID] で、[ Basic Information] > [Primary email ] が選択されていることを確認します。
「続行」をクリックします。
[属性マッピング] ページで、次の操作を行います。
「 マッピングの追加」 を2回クリックすると、次の2つのマッピングを追加できます。
ドロップダウンメニューで [名 ]属性を見つけて、次の文字列を貼り付けます。
schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
ドロップダウンメニューで [姓 ]属性を見つけて、次の文字列を貼り付けます。
schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
「終了」をクリックします。
表示されたアプリ ページで、[ユーザー アクセス] でサービスが有効になっており、ユーザー グループまたは組織単位が選択されていることを確認します。
すべてのユーザーに対して [オフ] と表示されている場合は、ユーザー アクセス パネルの開閉用三角ボタンをクリックして、ユーザー グループまたは組織単位をアプリに割り当てます。
必要に応じて、サービスを有効にするグループまたは組織単位を選択してください(デフォルトでは、すべての組織単位が表示されます)。
すべてのユーザーに対してサービスの状態を ON に設定します。
[保存]をクリックします
SAML ベースのシングル サインオン ナレッジ ベース記事の「必須の要求属性」セクションでは 、Kandji属性マッピングについて詳しく説明しています。
Kandji での SAML 接続の構成
Kandjiのカスタム SAML モーダルに戻ります。
接続に [名前] を付けます。
Google Workspace からコピーした ログイン URL を貼り付けます。
Google Workspace からダウンロードした証明書をアップロードします。
「ユーザー ID 属性」がデフォルト値となっていることを確認します。
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
[署名要求] が [はい] に設定されていることを確認します。
[Request Algorithm] が [RSA-SHA256] に設定されていることを確認します。
「Sign Request Algorithm Digest」が「SHA 256」に設定されていることを確認します。
[プロトコルバインディング] を HTTP-POST に設定します。
[保存 ] をクリックし、[キャンセル] をクリックして設定を終了します。
SAML 接続を有効にする
Kandji と ID プロバイダーで SAML 接続を構成したら、それを有効にできます。詳細な手順については、シングルサインオンのサポート記事の「 接続の有効化と管理」セクションを参照してください 。
シングルサインオンの強制
少なくとも 1 つのシングルサインオン接続を構成したら、標準認証接続を無効にすることができます。Kandjiで標準認証を無効にすると、テナント内の Kandji 管理者がメール/パスワード、Google サインイン、または Office 365 サインインを使用して認証する機能が無効になります。ステップバイステップの説明については シングルサインオンのサポート記事をご参照ください。
ユーザーをKandjiに追加する
Kandji で [新規ユーザー] をクリックして、管理チーム にユーザーを追加します。
対応するユーザー情報をすべて入力します。このユーザーは Google Workspace に存在し、Google Workspace テナントの Kandji SSO アプリに割り当てられている必要があります。
「送信」をクリックします。
招待が送信されたら、[ユーザーの招待] ウィンドウを閉じます。
Kandjiのアクセスページを更新します。追加したユーザーが表示されます。
ユーザーのメールを確認して招待を受け入れ、新しい SAML SSO 接続で Kandji にログインします。