Microsoft Entra ID によるシングルサインオン (ネイティブ)

  • hC
  • EF

注: Microsoft Entra ID は、Azure AD (Azure Active Directory) の新しい名前です

クライアントシークレットの最大有効期間は 24 か月であるため、このドキュメントで説明する方法を使用する代わりに、SAML ベースのシングル サインオン を構成することをお勧めします。

Microsoft Entra ID アプリケーションを作成する

  1. Microsoft Entra 管理センターにサインインします。

  2. 左側のナビゲーションバーで、「アプリケーション」をクリックします。

  3. [アプリの登録] をクリックします

  4. 「新規登録 」をクリックして 、新しいアプリケーションを登録します。 

  5. [名前] フィールドで、アプリケーションの名前 (「Kandji ネイティブ SSO」など) を指定します。

  6. [サポートされているアカウントの種類] で、 [この組織ディレクトリ内のアカウントのみ] を選択します。

  7. [リダイレクト URI] フィールドで、ドロップダウンメニューから [Web] を選択し、 Kandji テナントがホストされている場所に応じて、次のいずれかの値を入力します。

    • テナントが米国でホストされている場合は、次の URI を使用します。

      https://auth.kandji.io/login/callback

    • テナントが EU でホストされている場合は、次の URI を使用します。

      https://auth.eu.kandji.io/login/callback

  8. 「登録」をクリックします。 

  9. 新しいページで、 クライアント ID をコピーし、後で使用するために保存しておきます。 

  10. 「証明書とシークレット」をクリックします。

  11. 新しいクライアントシークレット」をクリックします。

  12. クライアントシークレットに「Kandji Native SSO」などの名前を付けます。

  13. 有効期限を 24 か月に設定します。

  14. [追加] をクリックします

  15. クライアントシークレットの Value をコピーし、後で使用するために保存しておきます。 クライアントシークレットの値は、クライアントシークレットIDとは異なることに注意してください。 

Microsoft Entra ID ディレクトリ接続の作成

  1. [設定] ページに移動します。

  2. [アクセス] タブをクリックします。

  3. [認証 ] セクションを見つけます。そのセクションが現在存在しない場合、テナントの SSO は有効になっていません。

  4. 認証テーブルの左下にある 「追加 」ボタンをクリックします。

  5. 新しいブレードで、[ Microsoft Entra ID ] 接続オプションをクリックします。 

  6. 「次へ」をクリックします。 

  7. Entra接続のデフォルトの [名前 ]を使用するか、カスタマイズしてください。(これはログインページに表示されます)

  8. アプリケーションが登録された Entra IDディレクトリドメイン を入力してください。 ディレクトリのドメイン名を見つけるには、Microsoftのドキュメントを参照してください。

  9. 以前に Entra 管理センターからコピーした クライアント ID を入力します。

  10. 以前に Entra 管理センターからコピーした クライアントシークレット を入力します。

  11. 「保存」をクリックします。 

  12. 保存後、新しいダイアログボックスが開き、接続を承認するためのリンクが表示されます 。 ドメインの Microsoft Entra ID 管理者は、リンクをクリックしてこのプロセスを完了し、アプリケーションを承認する必要があります。このボックスは、認証が完了した後も消えません。 

  13. 新しいウィンドウが起動したら、サインインして [同意する] をクリックします。 

  14. [同意する] をクリックすると、認証成功ページに移動します。 

  15. これで接続が正常に設定されたので、有効化およびテストが可能です。 

「アクセストークンの取得に失敗しました」というエラーが発生した場合は、正しい値の代わりにシークレットIDが使用されたことが原因である可能性があります。

SAML 接続を有効にする

Kandji と ID プロバイダーで SAML 接続を構成したら、それを有効にすることができます。詳細な手順については、シングルサインオンのサポート記事を参照してください。 

シングルサインオンの強制

少なくとも 1 つのシングル サインオン接続を構成したら、標準認証接続を無効にすることができます。Kandjiで標準認証を無効にすると 、テナント内の Kandji 管理者がメール/パスワード、Google サインイン、または Office 365 サインインを使用して認証する機能が無効になります。詳細な手順については、 シングルサインオンのサポート記事 を参照してください。

クライアントシークレットの更新

  1. この記事の Microsoft Entra ID アプリケーションの作成 セクションの手順 9 から 14 に従って、新しいクライアントシークレットを作成し、手順 14 に示すように値をコピーします。

  2. Kandji Web アプリで、[設定] ページに移動します。

  3. [アクセス] タブをクリックします。

  4. [認証] セクションを見つけます。

  5. この記事で前に作成した SSO 統合の横にある省略記号をクリックし、[構成] を選択します。

  6. クライアントシークレット を、前にコピーしたクライアントシークレットの値に置き換えます。

  7. 「保存」をクリックします。

Kandji Web アプリにサインインし、作成されたネイティブ SSO ログイン オプションを選択して、構成をテストしてください。これをプライベートブラウザウィンドウ/シークレットウィンドウでテストし、KandjiWebアプリにサインインできることを確認します。その後、必要に応じて、Entra ID のアプリ登録から以前のクライアント シークレットを削除できます。