Google Workspaceによるシングルサインオン(SAML)

SAML 接続 の作成

  1. Kandjiで、[設定] ページに移動します。

  2. [アクセス ] タブをクリックします。

  3. [認証 ]セクションを見つけて、左下の[追加]ボタンをクリックします。

  4. 新しいウィンドウで、[ カスタム SAML] をクリックします。

  5. 「次へ」をクリックします。

  6. 「詳細を表示」をクリックします。

  7. アサーション コンシューマ サービスの URL をテキストドキュメントにコピーして、後で使用できるようにします。

  8. エンティティ ID をテキストドキュメントにコピーして、後で使用できるようにします。

  9. このタブを開いたまま、下記の手順に沿って Google Workspace 管理コンソールに進みます。 

Kandji アプリケーションを Google Workspace に追加する

  1. 新しいブラウザタブで、Google Workspace 管理者アカウントで admin.google.com にログインします。

  2. 左上のメニュー記号をクリックします。

  3. [アプリ] を選択します。

  4. [ Web アプリとモバイル アプリ] を選択します。

  5. [ アプリの追加 ] ドロップダウンをクリックします。

  6. [カスタム SAML アプリの追加] を選択します。

  7. [アプリの詳細 ] ページで、次の操作を行います。

    1. アプリ名を設定します。

    2. 必要に応じて、 説明を追加します。

    3. オプションのアプリアイコンをアップロードします。

    4. 「続行」をクリックします。 X9G04ttqJJ_cG98DYmInwhW8hmiSKJQ3kQ

  8. [Google ID プロバイダの詳細] ページで、[オプション 2: SSO URL、エンティティ ID、証明書をコピーする] を使用します。

    1. SSO URL をコピーし、後で使用するためにテキストドキュメントに保存します。

    2. 証明書をダウンロードして保存します。

    3. 「続行」をクリックします。 x6YHMb95gSoPUUkusqPg0UTACJcazPxojg

  9. [サービスプロバイダーの詳細] ページで、次の操作を行います。

    1. [ACS URL] フィールドに、 先ほどコピーした Kandji アサーション コンシューマ サービス URL を貼り付け ます。

    2. 先ほどコピーした Kandji エンティティIDをエンティティ ID フィールドに貼り付けます。

    3. 「署名済みレスポンス」オプションがオンになっていることを確認します。

    4. [名前 ID 形式] を [UNSPECIFIED] に設定します。

    5. [NameID] で、[ Basic Information] > [Primary email ] が選択されていることを確認します。

    6. 「続行」をクリックします。 MGGiqNm2kv4U270jmFLu9Ml-FvSLiXbRUw

  10. [属性マッピング] ページで、次の操作を行います。

    1. マッピングの追加」 を2回クリックすると、次の2つのマッピングを追加できます。

      1. ドロップダウンメニューで [名 ]属性を見つけて、次の文字列を貼り付けます。

        schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
      2. ドロップダウンメニューで [姓 ]属性を見つけて、次の文字列を貼り付けます。

        schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
    2. 「終了」をクリックします。

  11. 表示されたアプリ ページで、[ユーザー アクセス] でサービスが有効になっており、ユーザー グループまたは組織単位が選択されていることを確認します。  

    1. すべてのユーザーに対して [オフ] と表示されている場合は、ユーザー アクセス パネルの開閉用三角ボタンをクリックして、ユーザー グループまたは組織単位をアプリに割り当てます。  3KTbSGbrVnzJ4lytfa2Cd3uiBzdp_UW3Tw

    2. 必要に応じて、サービスを有効にするグループまたは組織単位を選択してください(デフォルトでは、すべての組織単位が表示されます)。

    3. すべてのユーザーに対してサービスの状態を ON に設定します。

    4. [保存]をクリックします7OjG8vUOBNtxps7rS-7t0_saQcGdWeEySg

    SAML ベースのシングル サインオン ナレッジ ベース記事の「必須の要求属性」セクションでは 、Kandji属性マッピングについて詳しく説明しています。

Kandji での SAML 接続の構成

  1. Kandjiのカスタム SAML モーダルに戻ります。

  2. 接続に [名前] を付けます。

  3. Google Workspace からコピーした ログイン URL を貼り付けます。

  4. Google Workspace からダウンロードした証明書をアップロードします。

  5. 「ユーザー ID 属性」がデフォルト値となっていることを確認します。

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  6. [署名要求] が [はい] に設定されていることを確認します。

  7. [Request Algorithm][RSA-SHA256] に設定されていることを確認します。

  8. 「Sign Request Algorithm Digest」が「SHA 256」に設定されていることを確認します。

  9. [プロトコルバインディング] を HTTP-POST に設定します。

  10. [保存 ] をクリックし、[キャンセル] をクリックして設定を終了します。

SAML 接続を有効にする

Kandji と ID プロバイダーで SAML 接続を構成したら、それを有効にできます。詳細な手順については、シングルサインオンのサポート記事の「 接続の有効化と管理」セクションを参照してください 。

シングルサインオンの強制

少なくとも 1 つのシングルサインオン接続を構成したら、標準認証接続を無効にすることができます。Kandjiで標準認証を無効にすると、テナント内の Kandji 管理者がメール/パスワード、Google サインイン、または Office 365 サインインを使用して認証する機能が無効になります。ステップバイステップの説明については シングルサインオンのサポート記事をご参照ください。

ユーザーをKandjiに追加する

  1. Kandji で [新規ユーザー] をクリックして、管理チーム にユーザーを追加します。

  2. 対応するユーザー情報をすべて入力します。このユーザーは Google Workspace に存在し、Google Workspace テナントの Kandji SSO アプリに割り当てられている必要があります。

  3. 「送信」をクリックします。

  4. 招待が送信されたら、[ユーザーの招待] ウィンドウを閉じます。

  5. Kandjiのアクセスページを更新します。追加したユーザーが表示されます。

  6. ユーザーのメールを確認して招待を受け入れ、新しい SAML SSO 接続で Kandji にログインします。