11.10. SAML Identity Provider Configの新規追加

SAML Identity Provider Configの新規追加方法について説明します。

注釈

  • Azure Active Directory連携機能をご利用いただくためには、お客さま側でAzureのアカウントを用意していただく必要がございます。
  • DSIGWサービスとしては、Azuer Active Directoryのサポートはいたしません。

手順

  • 操作対象のセルグループを左ペインのドロップダウンリストから選択します。
../_images/active-directory01.png

  • 左ペインの「Active Directory」を選択します。
  • Azure Active Directory左の「v」を押下して、Azure Active Directoryに関する設定アコーディオンを展開します。
../_images/active-directory65.png

  • Active Directory Server欄の「新規追加」を選択します。
../_images/active-directory66.png

  • 必要な項目を記載します。
SAML Identity Provider Config設定項目
項目 説明
名前 お客さまのActive Directoryで設定したドメイン名を記入してください。
フェデレーションメタデータXMLアップロード
Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。
(注意) Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルには証明書が2つ記述されている場合、XMLファイルを編集せずにアップロードすると"A single IDPSSO certificate"エラーとなります。
詳しい修正方法はTipsをご参照ください。 (フェデレーションメタデータXMLファイルのサポートはDSIGWサービスの対象外となります)
  • 編集が完了したら『確認』を押下します。
../_images/active-directory67.png

  • 編集内容に問題がなければ『実行』を押下します。
../_images/active-directory68.png

  • オーダーを受領後、下記のように申込受付画面が表示されます。
../_images/active-directory69.png

  • 最新の情報を表示する際は、『更新』ボタンを押下してください。
../_images/active-directory70.png

コンフィグ反映

  • メニューバーの「コンフィグ反映」ボタンを押下してセルに設定を反映してください。 コンフィグ反映手順

Tips

参考情報として、Azure Active Directory連携に必要な情報を確認/取得する方法について説明します。

注釈

  • Azure Active Directoryの設定/保守に関するお問い合わせは、DSIGWのサービス範囲外になります。
  • 詳細なAzure側の操作方法については、Microsoftの 説明ページ をご参照ください。

Azureに登録する識別子と応答URLの確認方法

Azure Active Directoryと連携するためには、各セルの識別子と応答URLをAzure Portal側に登録する必要があります。
各識別子と応答URLは、Azure Active Directoryに関する設定アコーディオンに配置している "識別子/応答URL参照"ボタンを押下することで確認できます。
../_images/active-directory92.png
識別子と応答URLは シングル サインオン設定 で利用します。
../_images/active-directory93.png

アプリケーションの登録

Azure Portalを操作して、「Palo Alto Networks - Captive Portal」をエンタープライズアプリケーションに登録する。
(アプリケーションを登録することでSAML署名証明書が自動生成されます)
../_images/active-directory82.png

ユーザとグループ設定

Azure AD連携するユーザとアカウントを設定する必要があります。
設定方法は「Palo Alto Networks - Captive Portal」に、Azure ADに設定されたユーザもしくはグループの利用権限を付与することで連携できます。
../_images/active-directory83.png

シングル サインオン設定

基本的なSAML構成を編集して、識別子、応答URL、サインオンURLを設定する必要があります。
編集ボタンを押下して設定変更ページを開いてください。
../_images/active-directory84.png
編集画面で識別子、応答URLとサインオンURLを入力してください。
識別子と応答URLはDSIGWの Active Directory ページで確認することができます。
../_images/active-directory85.png

注釈

  • 全セルの識別子と応答URLを登録してください

サインオンURLの入力フォームは下にスクロールすることで表示されます。
お客様の全セルの中から任意のセルの応答URLを登録してください。
../_images/active-directory86.png

フェデレーションメタデータXMLダウンロード

DSIGWに登録するフェデレーションメタデータファイルをダウンロードしてください。
ダウンロードしたXMLファイルは SAML Identity Provider Config の手順でDSIGWに登録することができます。
../_images/active-directory87.png

注釈

  • 識別子、応答URL、サインオンURLが設定されていない場合、フェデレーションメタデータXMLをダウンロードすることができません。
  • フェデレーションメタデータファイルに複数個の証明書が登録されている場合、DSIGWへの登録時にエラーとなります。
  • 証明書が複数個登録されている場合、不要な証明書を削除する必要があります。
  • 証明書が複数個登録されている場合、エディタAzure Portal で不要な証明書を削除する必要があります。

SAML署名証明書の編集

Azure Portalを操作して不要な証明書を削除することができます。
SAML署名証明書の編集ボタンを押下して編集画面を開きます。
../_images/active-directory88.png
編集画面に複数個の証明書が表示されている場合は、不要な証明書の「...」ボタンを押下し、「証明書の削除」を選択してください。
../_images/active-directory89.png
../_images/active-directory90.png

エディタを用いた証明書削除方法

ダウンロードしたフェデレーションメタデータファイルをエディタで開き、不要な証明書を削除してください。
IDPSSODescriptorタグ配下のKeyDescriptorタグが証明書情報になります。
(証明書は、Azure Portalに表示されている順番でファイルに記載されています)
../_images/active-directory94.png
11.9. User-ID Agent連携の設定削除
11.11. SAML Identity Provider Configの詳細表示