連携先docomo business RINK IDaaSの設定

連携先docomo business RINK IDaaSの設定方法について説明します。

注釈

• docomo business RINK IDaaS連携機能をご利用いただくためには、お客さま側でdocomo business RINK IDaaSをお申込みいただく必要があります。

• FSGサービスとしては、docomo business RINK IDaaSのサポートはいたしません。

• docomo business RINK IDaaSのサポートについては こちら をご確認ください。

• 連携するセルグループに含まれるセル数が5つを超える場合、本項掲載の手順では認証連携できません。 該当される場合は、 こちら に掲載されているサポート窓口にお問い合わせください。

手順

• 操作対象のセルグループを左ペインのドロップダウンリストから選択します。

• 左ペインの「Active Directory」を選択します。

• Microsoft Entra ID左の「v」をクリックして、Microsoft Entra IDに関する設定アコーディオンを展開します。

• Active Directory Server欄の「新規追加」をクリックします。

• 必要な項目を記載します。

SAML Identity Provider Config設定項目

項目	説明
名前	SAML Identity Provider Configの名前 (本設定はActive Directory利用設定で利用するため、わかりやすい名前を付けることをお勧めします)
フェデレーションメタデータXMLアップロード	docomo business RINK IDaaSからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。

• 編集が完了したら「確認」をクリックします。

• 編集内容に問題がなければ「実行」をクリックします。

• オーダーを受領後、下記のように申込受付画面が表示されます。

• 最新の情報を表示する際は「更新」ボタンをクリックしてください。

コンフィグ反映

左ペインの「コンフィグ反映」ボタンをクリックしてセルに設定を反映してください。 詳細は コンフィグ反映手順 をご参照ください。

Tips

参考情報として、docomo business RINK IDaaS連携に必要な情報を確認/取得する方法について説明します。

注釈

• docomo business RINK IDaaSの設定/保守に関するお問い合わせは、FSGのサポート範囲外になります。

• 詳細なdocomo business RINK IDaaS側の設定/保守については、 docomo business RINK IDaaSの説明ページ をご参照ください。

FSGコンソールでdocomo business RINK IDaaSに登録する識別子と応答URLの確認方法

docomo business RINK IDaaSと連携するためには、各セルの識別子と応答URLをdocomo business RINK IDaaS側に登録する必要があります。 各識別子と応答URLは、Microsoft Entra IDの設定アコーディオンに配置している「識別子/応答URL参照」ボタンをクリックすることで確認できます。

識別子と応答URLは docomo business RINK IDaaS上でのアプリ登録 で利用します。 docomo business RINK IDaaSでは、識別子および応答URLの共通部分(http://および:6082:/SAML20/SP、:6082:/SAML20/SP/ACS)の入力は不要となるため、共通部分に挟まれた各セルのIPアドレスを控えてください。

docomo business RINK IDaaS上でのアプリ登録

連携時に利用する専用アプリをdocomo business RINK IDaaSの管理ページにて登録します。

• docomo business RINK IDaaSへ管理者がログイン後に表示されるマイページにて「管理」をクリックします。

• 管理ページにて「アプリ」をクリックします。

• アプリ管理画面にて「アプリ登録」をクリックします。

• アプリ選択画面の検索ウィンドウにて「Flexible Secure Gateway」と入力して虫眼鏡アイコンをクリックします。

• 検索結果から「FSG(Flexible Secure…」のアプリケーションをクリックします。

• アプリ設定画面から「メタデータをダウンロード」をクリックし、ファイルをダウンロードします。

• ダウンロード先のフォルダーにて、メタデータファイルがダウンロードされたことを確認します。

• アプリの設定画面から、下記のパラメータを入力します。

項目	設定内容
ログインURL・エンティティID	FSGコンソールで確認した識別子/サインオンURL中の任意のセルのIPアドレス。
サービスへのACS URL	FSGコンソールで確認した応答URL中のすべてのセルのIPアドレス。

注釈

• ログインURLとエンティティIDに入力する値は同じ値(同一のセルのIPアドレス)としてください。

• セルを冗長している場合は、セルグループ内のすべてのセルのIPアドレスを、各ウィンドウに一つずつ入力してください。

• パラメータ入力後に「登録」をクリックします。

docomo business RINK IDaaS上でのアプリ利用ユーザーの登録

アプリを利用するメンバーの登録を行います。

注釈

• 本項の設定にあたり、事前にdocomo business RINK IDaaSにて、利用ユーザーを登録しておく必要があります。

• 詳細なdocomo business RINK IDaaS側の設定については、docomo business RINK IDaaSの説明ページ をご参照ください。

• 登録後に表示されるアプリ管理画面から、登録済みの「FSG(Flexible Secure Gatew…」をクリックします。

• アプリ設定画面から「メンバー追加」をクリックします。

• メンバー追加画面で、FSGを利用するメンバーにチェックを入れます。

チェックが完了したら「登録」をクリックします。

• メンバー追加の完了メッセージが表示されたら利用ユーザーの登録は完了です。

docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定①[カスタムURLカテゴリ登録]

docomo business RINK IDaaSでは連携時の認証に用いる通信に対して、 Captive Portalでの認証除外設定やUTMでの通信許可設定が必要です。

本項では各種設定時に通信先として指定するdocomo business RINK IDaaSのURLをカスタムURLカテゴリとして登録します。

FSGコンソールから、docomo business RINK IDaaSの認証通信の宛先となるURLをカテゴリ登録します。

IDaaSで利用するオプションにより追加で登録が必要なURLがあるため、ご利用状況に応じて②③のURLリストに登録が必要です。 設定手順は カスタムURLカテゴリ設定をする を参照してください。

カスタムURLカテゴリ登録内容

項目	設定内容
名前	識別可能な任意の名前(docomo_business_RINK_IDaaSなど)
URLリスト①	必須 ・portal.trustlogin.com ・tl-prod-cluster-images.s3.*.amazonaws.com
URLリスト②	AD連携利用する場合に追加が必要（オプション） ・a-mq-ad.services.sku.id:5671 ・b-mq-ad.services.sku.id:5671
URLリスト③	クライアント認証を利用する場合に追加が必要（オプション） ・cert.sku.id ・cert.trustlogin.com ・ocsp.globalsign.com ・crl.globalsign.com ・secure.globalsign.com

docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定②[セキュリティポリシールール追加]

本項ではdocomo business RINK IDaaSの認証連携時の通信をUTMにて明示的に許可するセキュリティポリシーを追加します。

下記以外のパラメータについては、任意のパラメータで指定してください。

FSGコンソールから、 UTM機能(セキュリティポリシールール)の設定をする の手順に従って、下記のdocomo business RINK IDaaSの認証通信を許可するセキュリティポリシーを追加します。

セキュリティポリシー追加内容

項目	設定内容
名前	識別可能な任意の名前(docomo_business_RINK_IDaaSなど)
ログ	ログあり
送信元IPアドレス	any
宛先IPアドレス	any
宛先TCPポート	any
カスタムURLカテゴリ/カスタムURLカテゴリリスト	前項 で作成したURLカテゴリ(docomo_business_RINK_IDaaSなど)
アプリケーションリスト	any
アクション	Allow

注釈

• 上記以外の項目については、任意のパラメータで指定できます。

• UTMの仕様により、セキュリティポリシールールにて設定していない通信は原則としてすべて許可されません。

• docomo business RINK IDaaSによる認証成功後に許可する必要のある外部向け通信については、本項で設定したルールの下段に配置し許可ルールを追加してください。

セキュリティポリシーの完了したら、FSGコンソールの「優先度変更」をクリックして、作成済みポリシーを最上段に配置してください。

docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定③[Captive Portal認証除外の設定追加]

本項ではdocomo business RINK IDaaSの認証連携時の通信をCaptive Portalの認証判定から明示的に除外する設定を追加します。

FSGコンソールから、 Captive Portal認証除外の設定をする の手順に従って、下記のdocomo business RINK IDaaSの認証通信をCaptive Portal認証設定に追加します。

Captive Portal除外設定内容

項目	設定内容
名前	識別可能な任意の名前(docomo_business_RINK_IDaaSなど)
送信元IPアドレス	any
宛先IPアドレス	any
宛先TCPポート	any
カスタムURLカテゴリ/カスタムURLカテゴリリスト	前々項 で作成したURLカテゴリ(docomo_business_RINK_IDaaSなど)

目次

• 1. FSGメニューの基本
  • 事前に準備いただくもの
  • FSGのリソースとは
  • FSGコンソールとは
• 2. FSGサービスを利用する
  • セルグループを作成する
  • セルグループの高度な設定を行う(オプション)
  • ログ転送設定を追加する（オプション）
  • アラート通知先を設定する
  • セキュリティログアラートの設定をする(オプション)
  • セルメトリクスアラートの設定をする(オプション)
  • セルを作成する
  • FIC-Connectionを作成する
  • FIC-Connectionを接続する
  • デフォルトルート配信の設定をする(オプション)
  • 特定経路配信の設定をする(オプション)
  • 証明書をダウンロードする(オプション)
  • コンフィグ反映する
• 3. セキュリティに関する設定を変更する(オプション)
  • アンチスパイウェア例外の設定をする
  • SSL復号除外ルールを設定する
  • SSL復号除外ルールのアクションを設定する
  • Microsoft 365テナント制御を設定する
  • カスタムURLカテゴリ設定をする
  • URLフィルタリングプロファイルの設定をする
  • アドレスグループ設定をする
  • カテゴリ指定アプリケーションフィルタを設定する
  • 個別指定アプリケーションフィルタを設定する
  • UTM機能(セキュリティポリシールール)の設定をする
• 4. 認証の設定をする(オプション)
  • 認証連携設定
  • 連携先Active Directoryサーバー設定
  • 連携先Microsoft Entra IDの設定
  • 連携先docomo business RINK IDaaSの設定
  • Captive Portalの設定をする
  • Captive Portal認証除外の設定をする
  • Captive Portal対象リストの設定をする
  • User-ID Agentを利用する
• 5. 既存の設定を変更する
  • セルグループの設定変更
  • セルグループの高度な設定変更
  • セルの設定を変更する
  • セルのバージョン変更手順
  • セルのプラン変更手順
  • 証明書を再発行する
  • アンチスパイウェア例外の設定を変更する
  • 優先セル設定を変更する
  • ログ転送設定を変更する
  • Active Directoryの利用有無変更
  • 連携先Active Directoryサーバーの設定変更
  • User-ID Agentの設定を変更する
  • 連携先Microsoft Entra IDの設定変更
  • Microsoft 365テナント制御設定を変更する
  • 連携先docomo business RINK IDaaSの設定変更
  • Captive Portalの設定を変更する
  • Captive Portal認証除外の設定変更
  • Captive Portal認証対象の設定変更
  • カスタムURLカテゴリ設定を変更する
  • URLフィルタリングプロファイル設定を変更する
  • SSL復号除外ルールの設定を変更する
  • SSL復号除外ルールのアクションを変更する
  • アドレスグループを変更する
  • カテゴリ指定アプリケーションフィルタを変更する
  • 個別指定アプリケーションフィルタを変更する
  • セキュリティポリシールールの優先度を変更する
  • セキュリティポリシールールを変更する
• 6. 既存の設定を確認する
  • セルグループの設定を確認する
  • セルの設定を確認する
  • 優先セル設定を確認する
  • ログ転送設定を確認する
  • 認証連携の設定を確認する
  • 連携先Active Directoryサーバーの設定を確認する
  • 連携先Microsoft Entra IDの設定を確認する
  • Microsoft 365テナント制御設定を確認する
  • 連携先docomo business RINK IDaaSの設定を確認する
  • Captive Portalの設定を確認する
  • Captive Portal認証除外の設定を確認する
  • Captive Portal認証対象の設定を確認する
  • User-ID Agentの設定を確認する
  • カスタムURLカテゴリの設定を確認する
  • URLフィルタリングプロファイルの設定を確認する
  • アドレスグループの設定を確認する
  • SSL復号除外ルールの設定を確認する
  • アンチスパイウェア例外の設定を確認する
  • カテゴリ指定アプリケーションフィルタを確認する
  • 個別指定アプリケーションフィルタを確認する
  • セキュリティポリシールールを確認する
• 7. 認証設定を削除する
  • Active Directoryサーバーとの連携設定を削除する
  • Microsoft Entra ID設定を削除する
  • docomo business RINK IDaaSの連携設定を削除する
  • Captive Portal設定を削除する
  • User-ID Agent設定を削除する
• 8. セキュリティに関する設定を削除する
  • ログ転送設定を削除する
  • アンチスパイウェア例外設定を削除する
  • SSL復号除外設定を削除する
  • Microsoft 365テナント制御設定を無効にする
  • カスタムURLカテゴリ設定を削除する
  • URLフィルタリングプロファイル設定を削除する
  • アドレスグループ設定を削除する
  • カテゴリ指定アプリケーションフィルタを削除する
  • 個別指定アプリケーションフィルタを削除する
  • セキュリティポリシールールを削除する
• 9. FSGサービスの利用を停止する
  • 優先セル設定を削除する
  • デフォルトルートの配信を停止する
  • 特定経路配信を停止する
  • FIC-Connectionを切断する
  • FIC-Connectionを削除する
  • セルを削除する
  • セルグループを削除する
• 10. モニタリング機能を利用してサービスの状態を確認する
  • セルの状態を確認する
  • セルメトリクスを確認する
  • セキュリティログを確認する
  • 操作履歴を確認する
• 11. エラー発生時の対応
  • エラー発生時の対応
• 12. その他
  • チケットシステムの操作方法
  • 改訂履歴

---

連携先Microsoft Entra IDの設定

Captive Portalの設定をする