17. その他

-本ページは、FRAサービスの以下の操作について書き表しています。

17.1. 認証連携の設定について

-SAML認証機能を使用しSAMLサーバと連携する操作方法について以下に書き表しています。
-具体例としてID Federationサービスとの連携を以下に示しています。

注釈

IDF連携用のサーバープロファイルは予め弊社側で作成します。作成にあたりIdpメタデータファイルが必要となるため事前に送付してください。
IDF連携用のサーバープロファイルは、0系と1系の両系に作成します。本手順で作成する認証プロファイルに対して正確に指定する必要があります。
各サーバープロファイルに適用する認証プロファイルの関連付けに誤りがあると、正しく動作しないためご注意ください。
サーバープロファイルと認証プロファイルの関連付けは以下の通りです。
サーバープロファイル名(Ntt Com作成) 作成先 適用する認証プロファイル(お客様作成)
SAMLprofile_portal 0系/1系(両系) ポータル用SAML認証プロファイル
SAMLprofile_gw0 0系 0系用SAML認証プロファイル
SAMLprofile_gw1 1系 1系用SAML認証プロファイル

17.1.1. SAML認証でAzureADと連携する際の設定について

AzureAD連携用のサーバープロファイルは、ポータル用、ゲートウェイ用の認証プロファイルで共通です。
IDF認証連携の設定手順における1系用のSAML認証プロファイルの作成、およびゲートウェイ認証の設定は不要です。IDF連携との違いを以下の図に示します。

図17.1.1 IDF認証連携の設定と AzureAD連携設定の違い

東西冗長を申し込んでいて、かつ、東西エリアでそれぞれ別のポータル用メタデータをFRAに登録する必要がある場合、エリア障害発生時にDNS切替による自動切替ができません。

17.1.2. ポータル用SAML認証プロファイルの作成(0系/1系)

注釈

本作業はIDF連携の場合は0系と1系の両系で実施してください。
AzureAD連携の場合は0系と1系に共通のサーバープロファイルを指定します。
(1)Deviceタブをクリックし認証プロファイルをクリックします。追加にカーソルを合わせクリックします。

図17.1.2 認証プロファイル画面

(2)認証プロファイルの作成画面が表示されます。認証タブの以下の項目を入力します。
1.名前:任意の名前を入力します。名前は必須項目です。
2.タイプ:SAMLを選択します。
3.Idpサーバープロファイル:作成済みのIDF連携用のサーバープロファイル(SAMLprofile_portal)を選択します。

図17.1.3 認証プロファイル作成画面(認証)

注釈

名前は、ポータル用SAML認証と分かる名前にしてください。
(3)詳細タブをクリックし許可リストの追加にカーソルを合わせクリックします。

図17.1.4 認証プロファイル作成画面(詳細)

(4)追加を押した後、allを選択します。

図17.1.5 詳細リスト

(5)許可リストにallが追加された事を確認しOKをクリックします。

図17.1.6 許可リストの追加確認

17.1.2.1. ゲートウェイ用SAML認証プロファイルの作成(0系/1系)

注釈

本作業はIDF連携の場合は0系と1系の両系で実施してください。
AzureAD連携の場合は0系と1系に共通のサーバープロファイルを指定します。
(1)Deviceタブをクリックし認証プロファイルをクリックします。追加にカーソルを合わせクリックします。

図17.1.7 認証プロファイル画面

(2)認証プロファイルの作成画面が表示されます。認証タブの以下の項目を入力します。
1.名前:任意の名前を入力します。名前は必須項目です。
2.タイプ:SAMLを選択します。
3.Idpサーバープロファイル:作成済みのIDF連携用のサーバープロファイル(SAMLprofile_gw0)を選択します。

図17.1.8 認証プロファイル作成画面(認証)

注釈

名前は、ゲートウェイ用SAML認証と分かる名前にしてください。
1系に適用するサーバプロファイルはSAMLprofile_gw1を選択してください。
(3)詳細タブをクリックし許可リストの追加にカーソルを合わせクリックします。

図17.1.9 認証プロファイル作成画面(詳細)

(4)追加を押した後、allを選択します。
(5)許可リストにallが追加された事を確認しOKをクリックします。

図17.1.11 許可リストの追加確認

作成後、2つのIDF用認証プロファイルが追加されたことを確認します。

図17.1.12 認証プロファイル追加後の画面

17.1.2.2. ポータル認証の設定(0系/1系)

注釈

本作業は0系と1系の両系で実施してください。
(1)Networkタブをクリックしポータルをクリックします。GP-portalをクリックします。

図17.1.13 ポータル画面

(2)認証タブをクリックし追加にカーソルを合わせクリックします。

図17.1.14 GlobalProtectポータル設定画面(認証)

(3)クライアント認証の認証プロファイル設定画面が表示されます。以下の項目を入力します。
1.名前:任意の名前を入力します。名前は必須項目です。
2.認証プロファイル:作成済みの認証プロファイル(ポータル用SAML認証プロファイル)を選択します。
3.OKをクリックしGlobalProtect ポータルの設定画面に戻ります。

図17.1.15 クライアント認証の認証プロファイル設定画面

注釈

名前は、IDF認証と分かる名前にしてください。
(4)追加した認証設定を一番上に配置します。手順(3)で作成したクライアント認証の名前を選択し、
上へにカーソルを合わせクリックします。一番上まで移動できたことを確認しOKをクリックします。

図17.1.16 クライアント認証一覧

17.1.3. ゲートウェイ認証の設定(0系/1系)

注釈

本作業は0系と1系の両系で実施してください。
(1)Networkタブをクリックしゲートウェイをクリックします。GP-GWをクリックします。

図17.1.17 ゲートウェイ画面

(2)認証タブをクリックし追加にカーソルを合わせクリックします。

図17.1.18 GlobalProtectゲートウェイ設定画面(認証)

(3)クライアント認証の認証プロファイル設定画面が表示されます。以下の項目を入力します。
1.名前:任意の名前を入力します。名前は必須項目です。
2.認証プロファイル:作成済みの認証プロファイル(0系用SAML認証プロファイル)を選択します。
3.OKをクリックしGlobalProtect ポータルの設定画面に戻ります。

図17.1.19 クライアント認証の認証プロファイル設定画面

注釈

名前は、IDF認証と分かる名前にしてください。
1系で設定する際は1系用SAML認証プロファイルを認証プロファイルに設定してください。
(4)追加した認証設定を一番上に配置します。手順(3)で作成したクライアント認証の名前を選択し、
上へにカーソルを合わせクリックします。一番上まで移動できたことを確認しOKをクリックします。

図17.1.20 クライアント認証一覧

注釈

設定変更後、両系共に必ずコミットを実施し設定を反映してください。
コミット実施する際は、片系で実施し接続可能な事を確認後、もう片系のコミットを実施頂くことを推奨します。
コミットの手順は こちら を参照してください。

17.2. Azure ADとの認証連携

Azure ADとの認証連携は こちら を参照してください。

17.3. Active Directory(AD)とのLDAP認証連携

Active Directory(AD)とのLDAP認証連携 こちら を参照してください。

17.4. FRAクライアントソフトのバージョンアップ手順

-FRAクライアントソフトのバージョンアップの手順をご案内いたします。
-事前準備
-バージョンアップ手順(Windows端末の場合)
-バージョンアップ手順(Mac端末の場合)

17.4.1. 事前準備

-FRAクライアントソフトをバージョンアップする前に、バージョンアップ方法を制御することができます。
-新しいバージョンが配信される前に動作確認等を行う場合は、バージョンアップが自動で開始されないように設定を変更してください。

FRAポータルのNetwork > Global Protect > Portal > Agent > Configs > App > Allow User to Upgrade GlobalProtectAppの設定を変更することによりFRAクライアントソフトのバージョンアップ方法を制御することが可能です。

項目 説明
Allow with prompt(初期値) ユーザへプロンプトを表示し、同意したユーザに対しバージョンアップを実施させる
Allow Transparently ユーザに同意を得ることなく強制的にバージョンアップさせる
Disallow バージョンアップさせない

注釈

- バージョンアップ実施時、管理者権限は必要ありません
- バージョンアップ実施後、VPN接続が始まらない場合、端末を再起動してください
- バージョンアップに失敗した場合、現在ご利用中のFRAクライアントソフトをアンインストール後、新しいバージョンをインストールしてください
例:Windows 10のログオンアカウントとしてAzureADアカウントを使用する場合バージョンアップが上手くいかない事象を確認しています
- Allow Transparentlyに変更した場合、プロンプトは一切表示されることなく強制的にバージョンアップを実施します
- Disallowに変更した場合、新しいバージョンが配信されてもバージョンアップしません。バージョンアップを促す通知やポップアップも表示しません
- 特定ユーザのみをバージョンアップしたい場合、設定をDisallowに変更してください。その後バージョンアップしたい特定ユーザのみ認証ポータルにアクセスすることで、クライアントソフトがダウンロードできます(2023/1/17以降)

17.4.2. バージョンアップ手順(Windows端末の場合)

(1)Global Protectに接続します。バージョンアップ用のクライアントソフトのダウンロードを実施してよいかを確認するメッセージが表示されます。はいをクリックします。

図17.4.1 ダウンロード確認画面

(2)バージョンアップ用のクライアントソフトのインストールを実施して良いかを確認するメッセージが表示されます。はいをクリックします。インストールが開始されます。

図17.4.2 インストール確認画面

(3)インストールは数分で完了します。完了メッセージは表示されませんので、Global Protectのアイコンをクリックし、画面右上の三本線をクリックし、バージョン情報をクリックします。インストールしたバージョンに更新されているかを確認してください。

図17.4.4 バージョン情報

17.4.3. バージョンアップ手順(Mac端末の場合)

(1)Global Protectに接続します。バージョンアップ用のクライアントソフトのダウンロードを実施してよいかを確認するメッセージが表示されます。はいをクリックします。

図17.4.5 ダウンロード確認画面

(2)バージョンアップ用のクライアントソフトのインストールを実施して良いかを確認するメッセージが表示されます。はいをクリックします。インストールが開始されます。

図17.4.6 インストール確認画面

(3)インストールは数分で完了します。完了メッセージは表示されませんので、Global Protectのアイコンをクリックし、画面右上の三本線をクリックし、概要をクリックします。インストールしたバージョンに更新されているかを確認してください。

図17.4.7 [概要]をクリック

図17.4.8 バージョン情報