5.2. SAML認証連携利用時のグループマッピング機能の設定をする¶
FRAポータルにて設定するSAML認証連携利用時のグループマッピング機能の利用手順について説明します。
5.2.1. 注意事項、前提条件¶
設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。
設定変更後、0系/1系で必ずコミットを実施してください。
設定変更後、FRAクライアントを再接続すると設定が反映されます。
ポリシーを追加する場合は、 変更可能なルールの間または直上直下に設定してください。
- ポリシーは設定した上から順に優先して実行します。たとえば、本来許可したい通信の上に拒否ポリシーがある場合、拒否ポリシーが優先されるため許可したい通信が実行されません。ポリシーの設定位置について注意してください。
ポリシーを追加、編集する際は必要な通信先のみ許可するなど最小限のポリシー設定を推奨します。
5.2.2. 事前に準備いただくもの¶
- LDAPサーバーのIPアドレス
- LDAPサーバーのポート
5.2.3. お申込みの流れ、全体説明¶
図5.2.3.1. 設定変更の流れ
5.2.4. SAML認証連携利用時のグループマッピング機能の設定手順¶
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- グループマッピング機能利用するためのLDAPサーバープロファイルを作成します。①[Device]をクリックします。②サーバープロファイルの[LDAP]をクリックします。③[追加]をクリックします。
図5.2.4.1 LDAPサーバープロファイル一覧画面
- 項目を入力し[OK]ボタンを押下します。
図5.2.4.2 LDAPサーバープロファイル
| 項番 | 項目 | 説明 |
| 1 | プロファイル名 | プロファイルの識別に使用する任意の名前を入力してください。 |
| 2 | 名前 | サーバーリスト名に使用する任意の名前を入力してください。 |
| 3 | LDAPサーバー | LDAPサーバーのIPアドレスを入力してください。 |
| 4 | ポート | LDAPサーバーで使用しているポート番号を入力してください。 |
| 5 | タイプ | active-directoryを指定してください。 |
| 6 | ベースDN | LDAPサーバーへの接続が成功していていればベースDNの選択肢が表示されるため、表示されたベースDNを指定してください。 |
| 7 | バインドDN | バインドさせるユーザーアカウントのアカウント名を入力してください。 |
| 8 | パスワード | バインドさせるユーザーアカウントのパスワードを入力してください。 |
| 9 | SSL/TLSで保護された接続を要求 | LDAPSで通信させる場合はこちらにチェックを入れてください。 |
- ①[Device]をクリックします。②[ユーザーID]をクリックします。③[グループマッピング設定]をクリックします。④[追加]をクリックします。
図5.2.4.3 ユーザーID画面
- 項目を入力し[OK]ボタンを押下します。
図5.2.4.4 グループマッピング
| 項番 | 項目 | 説明 |
| 1 | 名前 | グループマッピング情報の識別に使用する任意の名前を入力してください。 |
| 2 | サーバープロファイル | 手順3.で作成したLDAPサーバープロファイルを指定してください。 |
| 3 | 更新間隔(秒) | 任意の更新間隔を指定してください。デフォルトは3600秒です。
ファイアウォールポリシーが使用するグループの更新情報を取得するため、ファイアウォールがLDAPディレクトリサーバーと接続を行う間隔を秒数で指定してください。
|
| 4 | ユーザードメイン | 認証プロファイルで設定したユーザードメインを入力してください。 |
| 5 | グループオブジェクト | 全てのグループが対象の場合は空白にしてください。 |
| 6 | ユーザーオブジェクト | 全てのユーザーが対象の場合は空白にしてください。 |
- グループマッピング機能利用時に作成するセキュリティポリシーに設定するLDAP通信用のサービスを作成します。①[Objects]をクリックします。②[サービス]をクリックします。③[追加]をクリックします。
図5.2.4.5 サービス一覧画面
- 項目を入力し[OK]ボタンを押下します。
図5.2.4.6 サービス
| 項番 | 項目 | 説明 |
| 1 | 名前 | 任意の名前を入力してください。
セキュリティポリシーを定義するときにサービスのリストに表示されます。
|
| 2 | 宛先ポート | LDAPサーバーと通信可能なポート番号を入力してください。
複数のポートまたはポートの範囲はコンマで区切ります。
|
- グループマッピング機能利用するためのセキュリティポリシーを作成します。①[Policies]をクリックします。②[セキュリティ]をクリックします。③[追加]をクリックします。クリックすると新規ポリシー画面が表示されます。
図5.2.4.7 Policiesタブ
- [全般]の項目を入力します。
図5.2.4.8 セキュリティポリシールール(全般)
| 項番 | 項目 | 説明 |
| 1 | 名前 | 任意の名前を入力してください。 |
| 2 | 内容 | 作成したポリシーの説明を入力してください。省略可能です。 |
| 3 | 監査コメント | ポリシーの設定変更時に変更内容の履歴を残したい場合に入力してください。省略可能です。 |
- [送信元]の項目を入力します。
図5.2.4.9 セキュリティポリシールール(送信元)
| 項番 | 項目 | 説明 |
| 1 | 送信元ゾーン | INETを指定してください。 |
| 2 | 送信元アドレス | GW-IFを指定してください。 |
- [宛先]の項目を入力します。
図5.2.4.10 セキュリティポリシールール(宛先)
| 項番 | 項目 | 説明 |
| 1 | 宛先ゾーン | INETを指定してください。 |
| 2 | 宛先アドレス | LDAPサーバーのIPアドレスを指定してください。 |
- [サービス/URLカテゴリ]の項目を入力します。
図5.2.4.11 セキュリティポリシールール(サービス/URLカテゴリ)
| 項番 | 項目 | 説明 |
| 1 | サービス | 手順7.で作成したサービスを指定してください。 |
- [アクション]の項目を入力し[OK]ボタンを押下します。
図5.2.4.12 セキュリティポリシールール(アクション)
| 項番 | 項目 | 説明 |
| 1 | アクション設定 | allowを選択してください。通信を拒否する場合はdenyを選択してください。 |
| 2 | ログ設定 | 通信開始時のログを記録したい場合はセッション開始時にログにチェックを入れてください。通信終了時のログを記録したい場合はセッション終了時にログにチェックを入れてください。通信の開始/終了を記録したい場合は両方にチェックを入れてください。Syslogサーバーにログを転送する場合はログ転送からログ転送プロファイルを選択してください。 |
| 3 | プロファイル設定 | UTM機能(アンチウイルス/アンチスパイウェア/脆弱性防御(IDS/IPS))を使用する場合は以下のプロファイルタイプから使用したいプロファイルを選択します。
アンチウイルス :FRA-Antivirus-Strict/FRA-Antivirus-Medium/FRA-Antivirus-LogOnly
アンチスパイウェア :FRA-Antispyware-High/FRA-Antispyware-Medium/FRA-Antispyware-Low/FRA-Antispyware-LogOnly
脆弱性防御(IDS/IPS) :FRA-IPS-High/FRA-IPS-Medium/FRA-IPS-Low/FRA-IPS-Log-Only/FRA-IDS-High/FRA-IDS-Medium/FRA-IDS-Low
URLフィルタリングはdefaultか作成したURLフィルタリングプロファイルを選択します。
|
- ①追加したポリシーを選択します。②[移動]をクリックします。③[上へ]をクリックし変更可能なルールの間または直上直下に移動します。
図5.2.4.13 ルール移動
- 以下のように変更可能なルールの直上に移動しポリシーの移動が完了となります。
図5.2.4.14 ルール移動完了後の画面
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。