11.10. SAML Identity Provider Configの新規追加¶
SAML Identity Provider Configの新規追加方法について説明します。
注釈
- Azure Active Directory連携機能をご利用いただくためには、お客さま側でAzureのアカウントを用意していただく必要がございます。
- DSIGWサービスとしては、Azuer Active Directoryのサポートはいたしません。
手順¶
- 操作対象のセルグループを左ペインのドロップダウンリストから選択します。
- 左ペインの「Active Directory」を選択します。
- Azure Active Directory左の「v」を押下して、Azure Active Directoryに関する設定アコーディオンを展開します。
- Active Directory Server欄の「新規追加」を選択します。
- 必要な項目を記載します。
項目 | 説明 |
名前 | お客さまのActive Directoryで設定したドメイン名を記入してください。 |
フェデレーションメタデータXMLアップロード | Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。
(注意) Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルには証明書が2つ記述されている場合、XMLファイルを編集せずにアップロードすると"A single IDPSSO certificate"エラーとなります。
詳しい修正方法はTipsをご参照ください。 (フェデレーションメタデータXMLファイルのサポートはDSIGWサービスの対象外となります)
|
- 編集が完了したら『確認』を押下します。
- 編集内容に問題がなければ『実行』を押下します。
- オーダーを受領後、下記のように申込受付画面が表示されます。
- 最新の情報を表示する際は、『更新』ボタンを押下してください。
Tips¶
参考情報として、Azure Active Directory連携に必要な情報を確認/取得する方法について説明します。
注釈
- Azure Active Directoryの設定/保守に関するお問い合わせは、DSIGWのサービス範囲外になります。
- 詳細なAzure側の操作方法については、Microsoftの 説明ページ をご参照ください。
Azureに登録する識別子と応答URLの確認方法¶
Azure Active Directoryと連携するためには、各セルの識別子と応答URLをAzure Portal側に登録する必要があります。
各識別子と応答URLは、Azure Active Directoryに関する設定アコーディオンに配置している "識別子/応答URL参照"ボタンを押下することで確認できます。
識別子と応答URLは シングル サインオン設定 で利用します。
アプリケーションの登録¶
Azure Portalを操作して、「Palo Alto Networks - Captive Portal」をエンタープライズアプリケーションに登録する。
(アプリケーションを登録することでSAML署名証明書が自動生成されます)
ユーザとグループ設定¶
Azure AD連携するユーザとアカウントを設定する必要があります。
設定方法は「Palo Alto Networks - Captive Portal」に、Azure ADに設定されたユーザもしくはグループの利用権限を付与することで連携できます。
シングル サインオン設定¶
基本的なSAML構成を編集して、識別子、応答URL、サインオンURLを設定する必要があります。
編集ボタンを押下して設定変更ページを開いてください。
編集画面で識別子、応答URLとサインオンURLを入力してください。
識別子と応答URLはDSIGWの Active Directory ページで確認することができます。
注釈
- 全セルの識別子と応答URLを登録してください
サインオンURLの入力フォームは下にスクロールすることで表示されます。
お客様の全セルの中から任意のセルの応答URLを登録してください。
フェデレーションメタデータXMLダウンロード¶
DSIGWに登録するフェデレーションメタデータファイルをダウンロードしてください。
ダウンロードしたXMLファイルは SAML Identity Provider Config の手順でDSIGWに登録することができます。
注釈
- 識別子、応答URL、サインオンURLが設定されていない場合、フェデレーションメタデータXMLをダウンロードすることができません。
- フェデレーションメタデータファイルに複数個の証明書が登録されている場合、DSIGWへの登録時にエラーとなります。
- 証明書が複数個登録されている場合、不要な証明書を削除する必要があります。
- 証明書が複数個登録されている場合、エディタ か Azure Portal で不要な証明書を削除する必要があります。
SAML署名証明書の編集¶
Azure Portalを操作して不要な証明書を削除することができます。
SAML署名証明書の編集ボタンを押下して編集画面を開きます。
編集画面に複数個の証明書が表示されている場合は、不要な証明書の「...」ボタンを押下し、「証明書の削除」を選択してください。
エディタを用いた証明書削除方法¶
ダウンロードしたフェデレーションメタデータファイルをエディタで開き、不要な証明書を削除してください。
IDPSSODescriptorタグ配下のKeyDescriptorタグが証明書情報になります。
(証明書は、Azure Portalに表示されている順番でファイルに記載されています)