Oktaによるシングルサインオン(SAML)

SAML 接続 の作成

  1. Kandjiで、[設定] ページに移動します

  2. 「アクセス 」タブをクリックします

  3. [認証 ] セクションを見つけて、認証セクションの左下にある [追加] ボタンをクリックします (このセクションが表示されない場合は、テナントで SSO が有効になっていません)

  4. [SSO 接続の追加] ウィンドウで、[カスタム SAML] オプションを選択します

  5. 「次へ」をクリックします。

  6. [詳細を表示] を選択します 

  7.  アサーション コンシューマ サービスの URL をコピーし、後で使用するためにテキストドキュメントに保存します

  8.  エンティティID をコピーして保存します

  9. このブラウザタブを開いたままにして、以下の手順に進んでください

Oktaで Kandji アプリを構成する

  1. 新しいブラウザタブで、Oktaテナントにログインします

  2. 左側で、[アプリケーション]の横にある表示可能な三角形をクリックします

  3. [アプリケーション] をクリックします

  4. [Create App Integration(アプリ統合を作成)] をクリックします

  5. アプリ統合タイプとして [SAML 2.0 ] を選択し、[ 次へ ] をクリックします

  6. アプリ名を入力します

  7. オプションのアプリ ロゴをアップロードします

  8. 「次へ 」をクリックします。

  9. [シングル サインオン URL] フィールドに、前にコピーした Kandji アサーション コンシューマ サービス URL を貼り付けます

  10. 「オーディエンス URI (SP エンティティ ID)」 フィールドに、先ほどコピーした Kandji エンティティ ID を貼り付けます

  11. [名前 ID の形式 ] が [未指定] に設定されていることを確認します

  12. [Application username ]がOkta usernameに設定されていることを確認します

  13. [アプリケーションのユーザー名を更新] [作成と更新] に設定されていることを確認します

  14. [次へ ] を選択します 

  15. [私はOktaのカスタマーで、内部アプリを追加しています]を選択します

  16. [これは作成した内部アプリです] を選択します

  17. 「完了」をクリックします。

  18. [サインオン ]タブに戻り、[SAMLセットアップ手順 を表示する]へのリンクを見つけて、新しいブラウザタブで 開きます

  19. シングルサインオンURL をコピーしてテキストドキュメントに保存し、後でKandjiで使用します

  20. 証明書ファイルをダウンロードして保存し、 Kandji で使用できるようにします

Oktaアプリにテストユーザーを追加する

  1. Oktaアプリに戻り、[ Assignments(割り当て) ]タブをクリックします

  2. [ 割り当て ]ドロップダウンメニューをクリックし、[ Assign to People(ユーザーに割り当て)]をクリックします

  3. 割り当てるテストユーザーを検索します

  4. ユーザーが割り当てられたら、[ 完了] をクリックします

  5. 選択したユーザーがリストに表示されます

Kandji で SAML 接続を構成する

  1. Kandji のカスタム SAML 統合に戻ります。

  2. 接続に名前を付けます

  3. OktaからコピーしたシングルサインオンURLを[Sign In URL]テキストフィールドに貼り付けます。

  4. 先ほどダウンロードしたOkta証明書をアップロードします。

  5. 「ユーザー ID 属性」が下記のデフォルト値となっていることを確認します。

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

  6. [署名要求] が [はい] に設定されていることを確認します。

  7. 「リクエストアルゴリズム」「RSA-SHA256」に設定されていることを確認します

  8. Sign Request Algorithm DigestSHA 256 に設定されていることを確認します

  9. プロトコルバインディングHTTP-Redirectに設定します。

  10. 接続を保存し、[キャンセル] をクリックして構成ウィンドウを閉じます

SAML 接続を有効にする

Kandji と ID プロバイダーの両方で SAML 接続を構成したら、接続を有効にできます。詳細な手順については、シングルサインオンのサポート記事「接続の有効化と管理」セクションを参照してください。 

シングルサインオンの強制

少なくとも 1 つのシングルサインオン接続を構成したら、標準認証接続を無効にすることができます。Kandji で標準認証を無効にすると、テナント内の Kandji 管理者がメール/パスワード、Google サインイン、または Office 365 サインインを使用して認証する機能が無効になります。ステップバイステップの手順については、 シングルサインオンのサポート記事 を参照してください。

テストユーザーをKandjiに追加する

  1. Kandji で [新しいユーザー] をクリックして、テストユーザーを管理チーム に追加します

  2. 対応するユーザー情報をすべて入力します。このユーザーはOktaに存在し、OktaテナントのOkta SSOアプリに割り当てられている必要があります

  3. 「送信」をクリックします

  4. 招待が送信されたら、[ユーザーの招待] ウィンドウを閉じます

  5. Kandjiの Access ページを更新します。追加されたばかりのユーザーが表示されます

  6. ユーザーのメールに移動して招待を承諾し、新しいSAML SSO接続でログインします