連携先docomo business RINK IDaaSの設定¶
連携先docomo business RINK IDaaSの設定方法について説明します。
注釈
手順¶
操作対象のセルグループを左ペインのドロップダウンリストから選択します。
左ペインの「Active Directory」を選択します。
Microsoft Entra ID左の「v」をクリックして、Microsoft Entra IDに関する設定アコーディオンを展開します。
Active Directory Server欄の「新規追加」をクリックします。
必要な項目を記載します。
項目 |
説明 |
名前 |
SAML Identity Provider Configの名前
(本設定はActive Directory利用設定で利用するため、わかりやすい名前を付けることをお勧めします)
|
フェデレーションメタデータXMLアップロード |
docomo business RINK IDaaSからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。
|
編集が完了したら「確認」をクリックします。
編集内容に問題がなければ「実行」をクリックします。
オーダーを受領後、下記のように申込受付画面が表示されます。
最新の情報を表示する際は「更新」ボタンをクリックしてください。
Tips¶
参考情報として、docomo business RINK IDaaS連携に必要な情報を確認/取得する方法について説明します。
注釈
docomo business RINK IDaaSの設定/保守に関するお問い合わせは、FSGのサポート範囲外になります。
詳細なdocomo business RINK IDaaS側の設定/保守については、 docomo business RINK IDaaSの説明ページ をご参照ください。
FSGコンソールでdocomo business RINK IDaaSに登録する識別子と応答URLの確認方法¶
docomo business RINK IDaaSと連携するためには、各セルの識別子と応答URLをdocomo business RINK IDaaS側に登録する必要があります。 各識別子と応答URLは、Microsoft Entra IDの設定アコーディオンに配置している「識別子/応答URL参照」ボタンをクリックすることで確認できます。
識別子と応答URLは docomo business RINK IDaaS上でのアプリ登録 で利用します。 docomo business RINK IDaaSでは、識別子および応答URLの共通部分(http://および:6082:/SAML20/SP、:6082:/SAML20/SP/ACS)の入力は不要となるため、共通部分に挟まれた各セルのIPアドレスを控えてください。
docomo business RINK IDaaS上でのアプリ登録¶
連携時に利用する専用アプリをdocomo business RINK IDaaSの管理ページにて登録します。
docomo business RINK IDaaSへ管理者がログイン後に表示されるマイページにて「管理」をクリックします。
管理ページにて「アプリ」をクリックします。
アプリ管理画面にて「アプリ登録」をクリックします。
アプリ選択画面の検索ウィンドウにて「Flexible Secure Gateway」と入力して虫眼鏡アイコンをクリックします。
検索結果から「FSG(Flexible Secure…」のアプリケーションをクリックします。
アプリ設定画面から「メタデータをダウンロード」をクリックし、ファイルをダウンロードします。
ダウンロード先のフォルダーにて、メタデータファイルがダウンロードされたことを確認します。
アプリの設定画面から、下記のパラメータを入力します。
項目 |
設定内容 |
---|---|
ログインURL・エンティティID |
FSGコンソールで確認した識別子/サインオンURL中の任意のセルのIPアドレス。
|
サービスへのACS URL |
FSGコンソールで確認した応答URL中のすべてのセルのIPアドレス。
|
注釈
ログインURLとエンティティIDに入力する値は同じ値(同一のセルのIPアドレス)としてください。
セルを冗長している場合は、セルグループ内のすべてのセルのIPアドレスを、各ウィンドウに一つずつ入力してください。
パラメータ入力後に「登録」をクリックします。
docomo business RINK IDaaS上でのアプリ利用ユーザーの登録¶
アプリを利用するメンバーの登録を行います。
注釈
本項の設定にあたり、事前にdocomo business RINK IDaaSにて、利用ユーザーを登録しておく必要があります。
詳細なdocomo business RINK IDaaS側の設定については、docomo business RINK IDaaSの説明ページ をご参照ください。
登録後に表示されるアプリ管理画面から、登録済みの「FSG(Flexible Secure Gatew…」をクリックします。
アプリ設定画面から「メンバー追加」をクリックします。
メンバー追加画面で、FSGを利用するメンバーにチェックを入れます。
チェックが完了したら「登録」をクリックします。
メンバー追加の完了メッセージが表示されたら利用ユーザーの登録は完了です。
docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定①[カスタムURLカテゴリ登録]¶
docomo business RINK IDaaSでは連携時の認証に用いる通信に対して、 Captive Portalでの認証除外設定やUTMでの通信許可設定が必要です。
本項では各種設定時に通信先として指定するdocomo business RINK IDaaSのURLをカスタムURLカテゴリとして登録します。
FSGコンソールから、docomo business RINK IDaaSの認証通信の宛先となるURLをカテゴリ登録します。
IDaaSで利用するオプションにより追加で登録が必要なURLがあるため、ご利用状況に応じて②③のURLリストに登録が必要です。 設定手順は カスタムURLカテゴリ設定をする を参照してください。
項目 |
設定内容 |
---|---|
名前 |
識別可能な任意の名前(docomo_business_RINK_IDaaSなど) |
URLリスト①
|
必須
・portal.trustlogin.com
・tl-prod-cluster-images.s3.*.amazonaws.com
|
URLリスト②
|
AD連携利用する場合に追加が必要(オプション)
・a-mq-ad.services.sku.id:5671
・b-mq-ad.services.sku.id:5671
|
URLリスト③
|
クライアント認証を利用する場合に追加が必要(オプション)
・cert.sku.id
・cert.trustlogin.com
・ocsp.globalsign.com
・crl.globalsign.com
・secure.globalsign.com
|
docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定②[セキュリティポリシールール追加]¶
本項ではdocomo business RINK IDaaSの認証連携時の通信をUTMにて明示的に許可するセキュリティポリシーを追加します。
下記以外のパラメータについては、任意のパラメータで指定してください。
FSGコンソールから、 UTM機能(セキュリティポリシールール)の設定をする の手順に従って、下記のdocomo business RINK IDaaSの認証通信を許可するセキュリティポリシーを追加します。
項目 |
設定内容 |
---|---|
名前 |
識別可能な任意の名前(docomo_business_RINK_IDaaSなど) |
ログ |
ログあり |
送信元IPアドレス |
any |
宛先IPアドレス |
any |
宛先TCPポート |
any |
カスタムURLカテゴリ/カスタムURLカテゴリリスト |
前項 で作成したURLカテゴリ(docomo_business_RINK_IDaaSなど) |
アプリケーションリスト |
any |
アクション |
Allow |
注釈
上記以外の項目については、任意のパラメータで指定できます。
UTMの仕様により、セキュリティポリシールールにて設定していない通信は原則としてすべて許可されません。
docomo business RINK IDaaSによる認証成功後に許可する必要のある外部向け通信については、本項で設定したルールの下段に配置し許可ルールを追加してください。
セキュリティポリシーの完了したら、FSGコンソールの「優先度変更」をクリックして、作成済みポリシーを最上段に配置してください。
docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定③[Captive Portal認証除外の設定追加]¶
本項ではdocomo business RINK IDaaSの認証連携時の通信をCaptive Portalの認証判定から明示的に除外する設定を追加します。
FSGコンソールから、 Captive Portal認証除外の設定をする の手順に従って、下記のdocomo business RINK IDaaSの認証通信をCaptive Portal認証設定に追加します。
項目 |
設定内容 |
---|---|
名前 |
識別可能な任意の名前(docomo_business_RINK_IDaaSなど) |
送信元IPアドレス |
any |
宛先IPアドレス |
any |
宛先TCPポート |
any |
カスタムURLカテゴリ/カスタムURLカテゴリリスト |
前々項 で作成したURLカテゴリ(docomo_business_RINK_IDaaSなど) |