JumpCloudによるシングルサインオン(SAML)

  • hC
  • EF

SAML 接続 の作成

  1. Kandjiで、[設定] ページに移動します。

  2. [アクセス ] タブをクリックします。

  3. [認証 ]セクションを見つけて、認証セクションの左下にある[追加]ボタンをクリックします。

  4. [SSO 接続の追加] ウィンドウで、[ カスタム SAML ] オプションを選択します。

  5. 「次へ」をクリックします。

  6. [詳細を表示] を選択します。

  7. アサーション コンシューマ サービス URL をコピーし、後で使用するためにテキスト ドキュメントに保存します。

  8. エンティティID もコピーして保存します。

     

  9. このブラウザタブを開いたままにして、以下の手順に進みます。 

KandjiアプリケーションをJumpCloudに追加する

  1. console.jumpcloud.com/login/admin にログインし、左側のナビゲーション バーの [ユーザー認証] セクションで [SSO アプリケーション] を選択します。

  2. 円形の [+ ] ボタンをクリックするか、これが初めてのアプリケーションの場合は [ 開始] をクリックします。

  3. 画面下部の [カスタム アプリケーション] タイルの [選択] をクリックします  。次に、[ 次へ] をクリックします。

     

  4. [オプションの選択] タブで、次の項目を選択します。 

    • シングルサインオン(SSO)の管理

    • SAMLを使用したSSOの構成

  5. 「次へ」をクリックします。

  6. 「一般情報の入力」タブで、次の操作を行います。

    1. 表示ラベルの名前を追加します。

    2. 必要に応じて [説明 ] を追加します。

    3. カラーインジケーターを選択するか、 ディスプレイポータル画像のロゴをアップロードします。

    4. 必要に応じて、ユーザーポータルにアプリケーションを表示することを選択します。

    5. 「詳細設定」の横にある開閉用三角ボタンを展開します。

    6. [SSO IdP URL ] フィールドに「kandji」と入力します。完全なURLは次のようになりますhttps://sso.jumpcloud.com/saml2/kandji

    7. アプリケーションの保存」をクリックします。

  7. アプリケーションが保存されたら、[ アプリケーションの構成] をクリックします。

  8. 設定モーダルの SSO タブで、次の操作を行います。

    1. Kandjiで先ほど保存したエンティティ ID をコピーし、JumpCloud の IdP エンティティ ID フィールドと SP エンティティ ID フィールドに貼り付けます。

    2. Kandjiで先ほど保存したアサーション コンシューマ サービス URLをコピーし、[ACS URL] フィールドに貼り付けます。

    3. [SAML サブジェクト ID] は [メール] に設定したままにします。

    4. 「SAMLSubject NameID-Format」フィールドで、ドロップダウンメニューから「urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress」を選択します。

    5. 署名アルゴリズムRSA-SHA256 に設定します。

    6. [署名アサーション] を選択します。

    7. IDP URLhttps://sso.jumpcloud.com/saml2/kandji であることを確認します。そうでない場合は、統合を削除して新しい統合を作成する必要があります。この URL をコピーして保存し、後でKandjiで使用できるようにします。

    8. 「保存」をクリックします。

  9. 保存したら、設定されたアプリケーションに戻り、モーダルの左側のメニューバーに移動して、[IdP Certificate Valid]をクリックできます。証明書オプションが表示されたら、[証明書をダウンロード] を選択します。後ほど Kandji で使用します。

  10. 「ユーザーグループ」タブで、次の操作を行います。

    • SSO アプリケーションにユーザーグループを追加します。SSOアプリにアクセスできるユーザーを制限する場合は、JumpCloudコンソールで別のユーザーグループを作成し、それをSSOアプリに割り当てます。 

Kandji での SAML 接続の設定

  1. Kandjiの カスタム SAML モーダルに戻ります。

  2. 接続に [名前] を付けます。

  3. JumpCloudからコピーした サインインURL を貼り付けます: https://sso.jumpcloud.com/saml2/kandji

  4. JumpCloudからダウンロードした 証明書 をアップロードします。

  5. 「ユーザー ID 属性」が次のデフォルト値に設定されていることを確認します。

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

  6. [署名要求] が [はい] に設定されていることを確認します。

  7. [Request Algorithm][RSA-SHA256] に設定されていることを確認します。

  8. 「Sign Request Algorithm Digest」が「SHA 256」に設定されていることを確認します。

  9. [プロトコルバインディング] を HTTP-POST に設定します。

  10. [保存 ] をクリックし、[キャンセル] をクリックして設定を終了します。

SAML 接続を有効にする

Kandji と ID プロバイダーで SAML 接続を構成したら、それを有効にすることができます。詳細な手順については、シングルサインオンのサポート記事の「接続の有効化と管理」セクションを参照してください。

シングルサインオンの強制

標準認証接続は、少なくとも 1 つのシングルサインオン接続を設定した後で無効にできます。Kandjiで標準認証を無効にすると、テナント内の Kandji 管理者がメール/パスワード、Google サインイン、または Office 365 サインインを使用して認証する機能が無効になります。ステップバイステップの手順については、 シングルサインオンのサポート記事をご参照ください。

Kandjiにユーザーを追加する

  1. Kandji で [新規ユーザー] をクリックして、管理チーム にユーザーを追加します。

  2. 対応するユーザー情報をすべて入力します。このユーザーは JumpCloud に存在し、JumpCloud テナントの Kandji SSO アプリに割り当てられている必要があります。

  3. 「送信」をクリックします。

  4. 招待が送信されたら、[ユーザーの招待] ウィンドウを閉じます。

  5. Kandjiの Access ページを更新します。追加したユーザーが表示されます。

  6. ユーザーのメールを確認して招待を承諾し、新しいSAML SSO接続で Kandji にログインします。