5.3. SAML認証連携の設定をする¶
FRAポータルにて設定するSAML認証機能を使用しSAMLサーバーと連携する手順について説明します。
具体例としてID Federationサービス(以下IDF)との連携を以下に示しています。
SAML認証でMicrosoft Entra ID(旧AzureAD)と連携する際のMicrosoft Entra ID(旧AzureAD)連携用のサーバープロファイルは、ポータル用、ゲートウェイ用の認証プロファイルで共通です。
そのため、Microsoft Entra ID(旧AzureAD)連携では、IDF認証連携の設定手順における1系用のSAML認証プロファイルの作成、およびゲートウェイ認証の設定は不要です。IDF連携との違いを以下の図に示します。
5.3.1. 注意事項、前提条件¶
各変更手順にて注意事項・前提条件をご確認ください。
5.3.2. 事前に準備いただくもの¶
- 連携先のIdPサービスで作成したメタデータファイル
5.3.3. お申込みの流れ、全体説明¶
5.3.4. SAML認証連携の設定をする¶
5.3.4.1. 注意事項、前提条件¶
- IDF認証連携を利用する場合は0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で異なる設定にしてください。
- 設定変更後、0系/1系で必ずコミットを実施してください。
- 設定変更後、FRAクライアントを再接続すると設定が反映されます。
- コミット実施する際は、片系で実施し接続可能な事を確認後、もう片系のコミットを実施頂くことを推奨します。
- 東西冗長を申し込んでいて、かつ、東西エリアでそれぞれ別のポータル用メタデータをFRAに登録する必要がある場合、エリア障害発生時にDNS切替による自動切替ができません。
- 各サーバープロファイルに適用する認証プロファイルの関連付けに誤りがあると、正しく動作しないためご注意ください。
5.3.4.2. 事前に準備いただくもの¶
なし
5.3.4.3. IdPメタデータファイルの作成手順¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[外部認証連携(LDAP・SAML)]をクリックします。
- [構成情報]ボタンを押下します。
- 構成情報が表示されるため、SAML連携先であるサービス(例:Azure AD)へ登録します。識別子(エンティティID)、応答 URL (Assertion Consumer Service URL)は3つ全ての登録が必要です。
注釈
- 認証サービスによってはIdPメタデータファイルの作成に際し情報が登録不要の場合があります。その場合は、次の手順にお進みください。
項番 | 説明 |
①,④ | 認証ポータルのアドレス(ポータル用) |
②,⑤ | VPN待ち受け用ゲートウェイのアドレス(0系用) |
③,⑥ | VPN待ち受け用ゲートウェイのアドレス(1系用) |
⑦ | サインオンURL(共通) |
5.3.4.4. SAML認証連携用サーバープロファイルの作成手順¶
注釈
- IdPサービスで作成したメタデータファイル単位にSAML認証連携用サーバープロファイルの作成が必要です。
- SAML認証連携用サーバープロファイルを作成するとき、特定の条件を満たすメタデータを追加すると 既知の問題 が発生することがあります。
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[外部認証連携(LDAP・SAML)]をクリックします。
- [新規追加]ボタンを押下します。
- 「SAML認証連携用サーバープロファイル新規追加」画面で必要な情報を入力します。入力が完了したら[確認]ボタンを押下します。
項番 | 項目 | 説明 | 変更可否 |
1 | サーバープロファイル名 | サーバープロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。 | × |
2 | 説明 | 本設定に任意の説明文を登録することができます。説明文は半角英数記号(-_) のみ使用可能です。 | × |
3 | メタデータファイル作成時に指定したFQDN | SAML認証連携に使用するIdPサービスでメタデータファイルを作成した際に指定した、FRA側のFQDNを選択してください。1つのメタデータファイルに複数のFQDNが紐づいている場合、対象のFQDNをすべて選択してください。 | × |
4 | メタデータファイル | [ファイル追加]ボタンを押下し、連携先のIdPサービスで作成されたメタデータファイルを追加してください。
メタデータファイルの拡張子は「.xml」としてください。
|
× |
- 入力内容の確認を行い、[実行]ボタンを押下します。
- [OK]ボタンを押下します。
- 「外部認証連携(LDAP・SAML)」画面でSAML認証連携用サーバープロファイルが作成されたことを確認します。
- 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
5.3.4.5. ポータル用SAML認証プロファイルの作成手順(0系/1系)¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Device]をクリックします。②[認証プロファイル]をクリックします。③[追加]をクリックします。
- 認証プロファイルの作成画面が表示されます。[認証]の項目を入力します。
項番 | 項目 | 説明 |
1 | 名前 | プロファイルの識別に使用する任意の名前を入力してください。
ポータル用SAML認証プロファイルと分かる名前にしてください。
|
2 | タイプ | SAMLを選択してください。 |
3 | IdPサーバープロファイル | ドロップダウンリストから作成済みのSAML認証連携用のサーバープロファイルを選択してください。
作成したサーバープロファイル名はFsecコンソールの「外部認証連携(LDAP・SAML)」画面から確認してください。
サーバープロファイルを複数作成した場合は認証ポータルのアドレス(ポータル用)から作成したサーバープロファイルを選択してください。
|
- [詳細]をクリックし、許可リストの[追加]をクリックします。
- allを選択します。
- [許可リスト]にallが追加された事を確認し[OK]ボタンを押下します。
5.3.4.6. ゲートウェイ用SAML認証プロファイルの作成手順(0系/1系)¶
- ①[Device]をクリックします。②[認証プロファイル]をクリックします。③[追加]をクリックします。
- 認証プロファイルの作成画面が表示されます。[認証]の項目を入力します。
項番 | 項目 | 説明 |
1 | 名前 | プロファイルの識別に使用する任意の名前を入力してください。
ゲートウェイ用SAML認証プロファイルと分かる名前にしてください。
|
2 | タイプ | SAMLを選択してください。 |
3 | IdPサーバープロファイル | ドロップダウンリストから作成済みのSAML認証連携用のサーバープロファイルを選択してください。
作成したサーバプロファイル名はFsecコンソールの「外部認証連携(LDAP・SAML)」画面から確認してください。
サーバープロファイルを複数作成した場合は以下を選択してください。
0系の場合はVPN待ち受け用ゲートウェイのアドレス(0系用)から作成したサーバープロファイルを選択してください。
1系の場合はVPN待ち受け用ゲートウェイのアドレス(1系用)から作成したサーバープロファイルを選択してください。
|
- [詳細]をクリックし、許可リストの[追加]をクリックします。
- allを選択します。
- [許可リスト]にallが追加された事を確認し[OK]ボタンを押下します。
- 作成後、2つの認証プロファイルが追加されたことを確認します。
5.3.4.7. ポータル認証の設定手順(0系/1系)¶
- ①[Network]をクリックします。②GlobalProtectの[ポータル]をクリックします。③[GP-portal]をクリックします。
- ①[認証]をクリックします。②[追加]をクリックします。
- クライアント認証の認証プロファイル設定画面が表示されます。項目を入力し[OK]ボタンを押下後、GlobalProtect ポータルの設定画面に戻ります。
項番 | 項目 | 説明 |
1 | 名前 | クライアント認証設定の識別に使用する任意の名前を入力してください。
IDF認証連携またはAzureAD連携と分かる名前にしてください。
|
2 | 認証プロファイル | ドロップダウンリストから作成済みの認証プロファイル(ポータル用SAML認証プロファイル)を選択してください。 |
- 追加した認証設定を一番上に配置します。①手順3. で作成したクライアント認証の名前を選択します。②[上へ]をクリックします。③一番上まで移動できたことを確認し[OK]ボタンを押下します。
5.3.4.8. ゲートウェイ認証の設定手順(0系/1系)¶
- ①[Network]をクリックします。②GlobalProtectの[ゲートウェイ]をクリックします。③[GP-GW]をクリックします。
- ①[認証]をクリックします。②[追加]をクリックします。
- クライアント認証の認証プロファイル設定画面が表示されます。項目を入力し[OK]ボタンを押下後、GlobalProtect ポータルの設定画面に戻ります。
項番 | 項目 | 説明 |
1 | 名前 | クライアント認証設定の識別に使用する任意の名前を入力してください。
IDF認証連携またはAzureAD連携と分かる名前にしてください。
|
2 | 認証プロファイル | ドロップダウンリストから作成済みの認証プロファイルを選択してください。
IDF認証連携の場合は以下を選択してください。
0系の場合は 0系用SAML認証プロファイル を選択してください。
1系の場合は 1系用SAML認証プロファイル を選択してください。
|
- 追加した認証設定を一番上に配置します。①手順3. で作成したクライアント認証の名前を選択します。②[上へ]をクリックします。③一番上まで移動できたことを確認し[OK]ボタンを押下します。
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
5.3.5. SAML認証連携用サーバープロファイルを削除する¶
5.3.5.1. 注意事項、前提条件¶
- 削除対象のサーバプロファイルが認証プロファイルに使用されていないことを確認してから実施してください。
5.3.5.2. 事前に準備いただくもの¶
なし
5.3.5.3. SAML認証連携用サーバープロファイルの削除手順¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[外部認証連携(LDAP・SAML)]をクリックします。
- 「外部認証連携(LDAP・SAML)」画面で削除するSAML認証連携用サーバープロファイルの[操作]プルダウンメニューより、[削除]をクリックします。
- 内容を確認し、 [上記について確認しました。]にチェックを入れ、[実行]ボタンを押下します。
- [OK]ボタンを押下します。
- 「外部認証連携(LDAP・SAML)」画面で削除したいSAML認証連携用サーバープロファイルが削除されたことを確認します。
- 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。