SAML 接続 の作成
Kandjiで、[設定] ページに移動します
「アクセス 」タブをクリックします
[認証 ] セクションを見つけて、認証セクションの左下にある [追加] ボタンをクリックします (このセクションが表示されない場合は、テナントで SSO が有効になっていません)
[SSO 接続の追加] ウィンドウで、[カスタム SAML] オプションを選択します
「次へ」をクリックします。
[詳細を表示] を選択します
アサーション コンシューマ サービスの URL をコピーし、後で使用するためにテキストドキュメントに保存します
エンティティID をコピーして保存します
このブラウザタブを開いたままにして、以下の手順に進んでください
Oktaで Kandji アプリを構成する
新しいブラウザタブで、Oktaテナントにログインします
左側で、[アプリケーション]の横にある表示可能な三角形をクリックします
[アプリケーション] をクリックします
[Create App Integration(アプリ統合を作成)] をクリックします
アプリ統合タイプとして [SAML 2.0 ] を選択し、[ 次へ ] をクリックします
アプリ名を入力します
オプションのアプリ ロゴをアップロードします
「次へ 」をクリックします。
[シングル サインオン URL] フィールドに、前にコピーした Kandji アサーション コンシューマ サービス URL を貼り付けます
「オーディエンス URI (SP エンティティ ID)」 フィールドに、先ほどコピーした Kandji エンティティ ID を貼り付けます
[名前 ID の形式 ] が [未指定] に設定されていることを確認します
[Application username ]がOkta usernameに設定されていることを確認します
[アプリケーションのユーザー名を更新] が [作成と更新] に設定されていることを確認します
[次へ ] を選択します
[私はOktaのカスタマーで、内部アプリを追加しています]を選択します
[これは作成した内部アプリです] を選択します
「完了」をクリックします。
[サインオン ]タブに戻り、[SAMLセットアップ手順 を表示する]へのリンクを見つけて、新しいブラウザタブで 開きます
シングルサインオンURL をコピーしてテキストドキュメントに保存し、後でKandjiで使用します
証明書ファイルをダウンロードして保存し、 Kandji で使用できるようにします
Oktaアプリにテストユーザーを追加する
Oktaアプリに戻り、[ Assignments(割り当て) ]タブをクリックします
[ 割り当て ]ドロップダウンメニューをクリックし、[ Assign to People(ユーザーに割り当て)]をクリックします
割り当てるテストユーザーを検索します
ユーザーが割り当てられたら、[ 完了] をクリックします
選択したユーザーがリストに表示されます
Kandji で SAML 接続を構成する
Kandji のカスタム SAML 統合に戻ります。
接続に名前を付けます。
OktaからコピーしたシングルサインオンURLを[Sign In URL]テキストフィールドに貼り付けます。
先ほどダウンロードしたOkta証明書をアップロードします。
「ユーザー ID 属性」が下記のデフォルト値となっていることを確認します。
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
[署名要求] が [はい] に設定されていることを確認します。
「リクエストアルゴリズム」が「RSA-SHA256」に設定されていることを確認します
Sign Request Algorithm Digest が SHA 256 に設定されていることを確認します
プロトコルバインディングをHTTP-Redirectに設定します。
接続を保存し、[キャンセル] をクリックして構成ウィンドウを閉じます
SAML 接続を有効にする
Kandji と ID プロバイダーの両方で SAML 接続を構成したら、接続を有効にできます。詳細な手順については、シングルサインオンのサポート記事の「接続の有効化と管理」セクションを参照してください。
シングルサインオンの強制
少なくとも 1 つのシングルサインオン接続を構成したら、標準認証接続を無効にすることができます。Kandji で標準認証を無効にすると、テナント内の Kandji 管理者がメール/パスワード、Google サインイン、または Office 365 サインインを使用して認証する機能が無効になります。ステップバイステップの手順については、 シングルサインオンのサポート記事 を参照してください。
テストユーザーをKandjiに追加する
Kandji で [新しいユーザー] をクリックして、テストユーザーを管理チーム に追加します
対応するユーザー情報をすべて入力します。このユーザーはOktaに存在し、OktaテナントのOkta SSOアプリに割り当てられている必要があります
「送信」をクリックします
招待が送信されたら、[ユーザーの招待] ウィンドウを閉じます
Kandjiの Access ページを更新します。追加されたばかりのユーザーが表示されます
ユーザーのメールに移動して招待を承諾し、新しいSAML SSO接続でログインします