Microsoft Entra ID によるシングルサインオン(SAML)

  • hC
  • EF

注: Microsoft Entra ID は、Azure AD (Azure Active Directory) の新しい名前です

SAML 接続 の作成

  1. Kandjiで、[設定] ページに移動します。

  2. [アクセス ] タブをクリックします。

  3. [認証 ]セクションを見つけて、認証セクションの左下にある[追加]ボタンをクリックします。

  4. [SSO 接続の追加] ウィンドウで、[ カスタム SAML ] オプションを選択します。

  5. 「次へ」をクリックします。

  6. [詳細を表示] を選択します。

  7. アサーション コンシューマ サービスの URL をコピーし、後で使用するためにテキストドキュメントに保存します。

  8. エンティティID もコピーして保存します。

     

  9. このブラウザタブを開いたままにして、以下の手順に進みます。 

Kandji アプリケーションを Microsoft Entra ID に追加する

  1. Microsoft Entra 管理センターにサインインします。

  2. ポータルメニューを開き、 アイデンティティを選択します。

  3. アイデンティティメニューの「アプリケーション」で、「エンタープライズアプリケーション」を選択します。

  4. [ 管理 ] セクションで、[ すべてのアプリケーション] を選択します。

  5. [新しいアプリケーション] を選択します。

  6. [独自のアプリケーションを作成する] を選択します。

  7. アプリケーションに 名前を付けます。

  8. ギャラリーにない他のアプリケーションを統合する (ギャラリー以外) を選択します。

  9. 「作成」をクリックします。 

  10. [管理] で [シングル サインオン] を選択します。

  11. [SAML] をクリックします。 

  12. [基本的な SAML 設定] ボックスの [編集 ] 鉛筆をクリックします。 

  13. 「識別子 (エンティティ ID)」セクションの「識別子を追加」リンクをクリックします。前にコピーしたエンティティ ID を [識別子 (エンティティ ID)] フィールドに貼り付けます。

  14. [応答 URL (アサーション コンシューマ サービス URL)] セクションに、前にコピーしたアサーション コンシューマ サービス URL を貼り付けます。

  15. 「保存」をクリックします。

  16. ペインの右上にある [X ] をクリックして閉じます。

  17. [Attributes & Claims] セクションの設定はデフォルトのままにします。 

  18. [ダウンロード] をクリックして、[SAML 証明書] セクションの Base 64 証明書をダウンロードします。この証明書は、 Kandjiのカスタム SAML 設定で使用されます。

  19. [セットアップ [アプリ名]]セクションで、ログインURLとログアウトURLをコピーし、後で使用するために安全なテキストドキュメントに貼り付けます。 

ユーザーとグループの割り当て

  1. [管理] で [ユーザーとグループ] を選択します。

  2. メニューで、[ ユーザー/グループの追加] を選択します。 

  3. [ 割り当ての追加] ダイアログで、[ ユーザーとグループ] の下のリンクを選択します。 

  4. ユーザーとセキュリティ グループの一覧が表示されます。特定のユーザーまたはグループを検索したり、リストに表示される複数のユーザーやグループを選択したりできます。

  5. ユーザーとグループを選択したら、[選択] をクリックします。 次のメッセージが表示された場合は、無料枠が使用されていることを意味します。シングルサインオンエンタープライズアプリでは、ユーザー(グループではない)のみを追加できます。 

  6. [割り当て] を選択して、アプリへのユーザーとグループの割り当てを完了します。 

  7. 追加したユーザーとグループが [ユーザーとグループ] リストに表示されていることを確認します。 

Kandji での SAML 接続の設定

  1. Kandjiのカスタム SAML モーダルに戻ります。

  2. 接続に [名前] を付けます。

  3. Entra IDからコピーした サインインURL を貼り付けます。

  4. Entra IDからコピーしたサインアウトURL を 貼り付けます。

  5. Entra IDからダウンロードした 証明書 をアップロードします。

  6. 「ユーザー ID 属性」が次のデフォルト値に設定されていることを確認します。

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

  7. [署名要求] [はい] に設定されていることを確認します。

  8. [Request Algorithm][RSA-SHA256] に設定されていることを確認します。

  9. 「Sign Request Algorithm Digest」が「SHA 256」に設定されていることを確認します。

  10. [プロトコルバインディング] を HTTP-POST に設定します。

  11. [保存] をクリックし、[キャンセル] をクリックして設定を終了します。

SAML 接続を有効にする

Kandji と ID プロバイダーで SAML 接続を構成したら、それを有効にすることができます。詳細な手順については、シングルサインオンのサポート記事の「接続の有効化と管理」セクションを参照してください。

シングルサインオンの強制

シングルサインオン接続を少なくとも 1 つ構成したら、標準認証接続を使用不可にできます。これを行うと、テナントの Kandji 管理者がメール/パスワード、Google サインイン、または Office 365 サインインを使用して認証する機能が削除されます。

Kandjiへのユーザーの追加

  1. Kandji で [新規ユーザー] をクリックして、管理チームにユーザーを追加します。

  2. 対応するユーザー情報をすべて入力します。このユーザーは、Microsoft Entra ID に存在し、Microsoft Entra ID テナントの Kandji SSO アプリに割り当てられている必要があります。

  3. 「送信」をクリックします。

  4. 招待が送信されたら、[ユーザーの招待] ウィンドウを閉じます。

  5. Kandjiの アクセスページを更新します。追加したユーザーが表示されます。

  6. ユーザーのメールを確認して招待を承諾し、新しい SAML SSO 接続で Kandji にログインします。