Microsoft Entra ID によるシングルサインオン (ネイティブ)

  • hC
  • EF
  • CW
 Prev Next

注: Microsoft Entra ID は、Azure AD (Azure Active Directory) の新しい名前です

クライアントシークレットの最大有効期間は 24 か月であるため、このドキュメントで説明する方法を使用する代わりに、SAML ベースのシングルサインオン を構成することをお勧めします。

Microsoft Entra ID アプリケーションを作成する

  1. Microsoft Entra 管理センターにサインインします。

  2. 左側のナビゲーションバーで、「アプリケーション」をクリックします。

  3. [アプリの登録] をクリックします。

  4. 「新規登録」をクリックして 、新しいアプリケーションを登録します。 

  5. [名前] フィールドで、アプリケーションの名前 (「Kandji ネイティブ SSO」など) を指定します。

  6. [サポートされているアカウントの種類] で、 [ この組織ディレクトリ内のアカウントのみ] を選択します。

  7. [リダイレクト URI] フィールドで、ドロップダウンメニューから [Web] を選択し、 Kandji テナントがホストされている場所に応じて、次のいずれかの値を入力します。

    • テナントが米国でホストされている場合は、次の URI を使用します。

      https://auth.kandji.io/login/callback

    • テナントが EU でホストされている場合は、次の URI を使用します。

      https://auth.eu.kandji.io/login/callback

  8. 「登録」をクリックします。 

  9. 新しいページで、 クライアント ID をコピーし、後で使用するために保存しておきます。 

  10. 「証明書とシークレット」をクリックします。

  11. 新しいクライアントシークレット」をクリックします。

  12. クライアントシークレットに「Kandji Native SSO」などの名前を付けます。

  13. 有効期限を 24 か月に設定します。

  14. [追加] をクリックします

  15. クライアントシークレットのをコピーし、後で使用するために保存しておきます。 クライアントシークレットの値は、クライアントシークレットIDとは異なることに注意してください。 

Microsoft Entra ID ディレクトリ接続の作成

  1. [設定] ページに移動します。

  2. [アクセス ] タブをクリックします。

  3. [認証]セクションを見つけて、認証セクションの左下にある[追加]ボタンをクリックします。

  4. 新しいブレードで、[ Microsoft Entra ID ] 接続オプションをクリックします。 

  5. 「次へ」をクリックします。 

  6. Entra接続のデフォルトの [名前 ]をカスタマイズするか、そのまま使用します(これはログインページに表示されます)。

  7. アプリケーションが登録された Entra IDディレクトリドメイン を入力します。 ディレクトリのドメイン名を見つけるには、Microsoftのドキュメントを参照してください。

  8. 以前に Entra 管理センターからコピーした クライアント ID を入力します。

  9. 以前に Entra 管理センターからコピーした クライアントシークレットを入力します。

  10. 「保存」をクリックします。 

  11. 保存後、新しいダイアログボックスが開き、接続を承認するためのリンクが表示されます 。 ドメインの Microsoft Entra ID 管理者は、リンクをクリックしてこのプロセスを完了し、アプリケーションを承認する必要があります。このボックスは、認証が完了した後も消えません。 

  12. 新しいウィンドウが起動したら、サインインして [同意する] をクリックします。 

  13. [同意する] をクリックすると、認証成功ページに移動します。 

  14. 接続の構成が正常に完了しました。これで有効化および動作確認が可能です。

「アクセストークンの取得に失敗しました」というエラーが発生した場合は、正しい値の代わりにシークレットIDが使用されたことが原因である可能性があります。

SAML 接続を有効にする

Kandji と ID プロバイダーで SAML 接続を構成したら、それを有効にできます。詳細な手順については、シングルサインオンのサポート記事を参照してください。 

シングルサインオンの強制

少なくとも 1 つのシングル サインオン接続を構成したら、標準認証接続を無効にすることができます。Kandjiで標準認証を無効にすると 、テナント内の Kandji 管理者がメール/パスワード、Google サインイン、または Office 365 サインインを使用して認証する機能が無効になります。詳細な手順については、 シングルサインオンのサポート記事 を参照してください。

クライアントシークレットの更新

  1. この記事の Microsoft Entra ID アプリケーションの作成 セクションの手順 9 から 14 に従って、新しいクライアント シークレットを作成し、手順 14 に示すように値をコピーします。

  2. Kandji Web アプリで、[設定] ページに移動します。

  3. [アクセス] タブをクリックします。

  4. [認証] セクションを見つけます。

  5. この記事で前に作成した SSO 統合の横にある省略記号をクリックし、[ 構成] を選択します。

  6. Client Secret を、前にコピーしたクライアントシークレットの値に置き換えます。

  7. 「保存」をクリックします。

Kandji Web アプリにサインインし、作成されたネイティブ SSO ログイン オプションを選択して、構成をテストしてください。プライベートブラウザウィンドウ/シークレットウィンドウでテストし、KandjiWebアプリにサインインできることを確認してください。その後、必要に応じて、Entra ID のアプリ登録から以前のクライアント シークレットを削除できます。