連携先docomo business RINK IDaaSの設定

連携先docomo business RINK IDaaSの設定方法について説明します。

注釈

  • docomo business RINK IDaaS連携機能をご利用いただくためには、お客さま側でdocomo business RINK IDaaSをお申込みいただく必要があります。
  • FSGサービスとしては、docomo business RINK IDaaSのサポートはいたしません。
  • docomo business RINK IDaaSのサポートについては こちら をご確認ください。
  • 連携するセルグループに含まれるセル数が5つを超える場合、本項掲載の手順では認証連携できません。 該当される場合は、 こちら に掲載されているサポート窓口にお問い合わせください。

手順

  • 操作対象のセルグループを左ペインのドロップダウンリストから選択します。
  • 左ペインの「Active Directory」を選択します。
../_images/active-directory01.png

  • Microsoft Entra ID左の「v」をクリックして、Microsoft Entra IDに関する設定アコーディオンを展開します。
../_images/active-directory65.png

  • Active Directory Server欄の「新規追加」をクリックします。
../_images/active-directory66.png

  • 必要な項目を記載します。
SAML Identity Provider Config設定項目
項目 説明
名前
SAML Identity Provider Configの名前
(本設定はActive Directory利用設定で利用するため、わかりやすい名前を付けることをお勧めします)
フェデレーションメタデータXMLアップロード
docomo business RINK IDaaSからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。
  • 編集が完了したら「確認」をクリックします。
../_images/active-directory67.png

  • 編集内容に問題がなければ「実行」をクリックします。
../_images/active-directory68.png

  • オーダーを受領後、下記のように申込受付画面が表示されます。
../_images/active-directory69.png

  • 最新の情報を表示する際は「更新」ボタンをクリックしてください。
../_images/active-directory70.png

コンフィグ反映

左ペインの「コンフィグ反映」ボタンをクリックしてセルに設定を反映してください。 詳細は コンフィグ反映手順 をご参照ください。

Tips

参考情報として、docomo business RINK IDaaS連携に必要な情報を確認/取得する方法について説明します。

注釈

  • docomo business RINK IDaaSの設定/保守に関するお問い合わせは、FSGのサポート範囲外になります。
  • 詳細なdocomo business RINK IDaaS側の設定/保守については、 docomo business RINK IDaaSの説明ページ をご参照ください。

FSGコンソールでdocomo business RINK IDaaSに登録する識別子と応答URLの確認方法

docomo business RINK IDaaSと連携するためには、各セルの識別子と応答URLをdocomo business RINK IDaaS側に登録する必要があります。 各識別子と応答URLは、Microsoft Entra IDの設定アコーディオンに配置している「識別子/応答URL参照」ボタンをクリックすることで確認できます。

../_images/active-directory92.png

識別子と応答URLは docomo business RINK IDaaS上でのアプリ登録 で利用します。 docomo business RINK IDaaSでは、識別子および応答URLの共通部分(http://および:6082:/SAML20/SP、:6082:/SAML20/SP/ACS)の入力は不要となるため、共通部分に挟まれた各セルのIPアドレスを控えてください。

../_images/docomo-business-RINK-IDaaS_Setting01.png

docomo business RINK IDaaS上でのアプリ登録

連携時に利用する専用アプリをdocomo business RINK IDaaSの管理ページにて登録します。

  • docomo business RINK IDaaSへ管理者がログイン後に表示されるマイページにて「管理」をクリックします。
../_images/docomo-business-RINK-IDaaS_Setting02.png
  • 管理ページにて「アプリ」をクリックします。
../_images/docomo-business-RINK-IDaaS_Setting03.png
  • アプリ管理画面にて「アプリ登録」をクリックします。
../_images/docomo-business-RINK-IDaaS_Setting04.png
  • アプリ選択画面の検索ウィンドウにて「Flexible Secure Gateway」と入力して虫眼鏡アイコンをクリックします。
../_images/docomo-business-RINK-IDaaS_Setting05.png
  • 検索結果から「FSG(Flexible Secure…」のアプリケーションをクリックします。
../_images/docomo-business-RINK-IDaaS_Setting06.png
  • アプリ設定画面から「メタデータをダウンロード」をクリックし、ファイルをダウンロードします。
../_images/docomo-business-RINK-IDaaS_Setting07.png
  • ダウンロード先のフォルダーにて、メタデータファイルがダウンロードされたことを確認します。
../_images/docomo-business-RINK-IDaaS_Setting08.png
  • アプリの設定画面から、下記のパラメータを入力します。
項目 設定内容
ログインURL・エンティティID
FSGコンソールで確認した識別子/サインオンURL中の任意のセルのIPアドレス。
サービスへのACS URL
FSGコンソールで確認した応答URL中のすべてのセルのIPアドレス。

注釈

  • ログインURLとエンティティIDに入力する値は同じ値(同一のセルのIPアドレス)としてください。
  • セルを冗長している場合は、セルグループ内のすべてのセルのIPアドレスを、各ウィンドウに一つずつ入力してください。
../_images/docomo-business-RINK-IDaaS_Setting09.png
  • パラメータ入力後に「登録」をクリックします。
../_images/docomo-business-RINK-IDaaS_Setting10.png

docomo business RINK IDaaS上でのアプリ利用ユーザーの登録

アプリを利用するメンバーの登録を行います。

注釈

  • 本項の設定にあたり、事前にdocomo business RINK IDaaSにて、利用ユーザーを登録しておく必要があります。
  • 詳細なdocomo business RINK IDaaS側の設定については、docomo business RINK IDaaSの説明ページ をご参照ください。
  • 登録後に表示されるアプリ管理画面から、登録済みの「FSG(Flexible Secure Gatew…」をクリックします。
../_images/docomo-business-RINK-IDaaS_Setting11.png
  • アプリ設定画面から「メンバー追加」をクリックします。
../_images/docomo-business-RINK-IDaaS_Setting12.png
  • メンバー追加画面で、FSGを利用するメンバーにチェックを入れます。
../_images/docomo-business-RINK-IDaaS_Setting13.png

チェックが完了したら「登録」をクリックします。

../_images/docomo-business-RINK-IDaaS_Setting14.png
  • メンバー追加の完了メッセージが表示されたら利用ユーザーの登録は完了です。
../_images/docomo-business-RINK-IDaaS_Setting15.png

docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定①[カスタムURLカテゴリ登録]

docomo business RINK IDaaSでは連携時の認証に用いる通信に対して、 Captive Portalでの認証除外設定やUTMでの通信許可設定が必要です。

本項では各種設定時に通信先として指定するdocomo business RINK IDaaSのURLをカスタムURLカテゴリとして登録します。

FSGコンソールから、docomo business RINK IDaaSの認証通信の宛先となるURLをカテゴリ登録します。

IDaaSで利用するオプションにより追加で登録が必要なURLがあるため、ご利用状況に応じて②③のURLリストに登録が必要です。 設定手順は カスタムURLカテゴリ設定をする を参照してください。

カスタムURLカテゴリ登録内容
項目 設定内容
名前 識別可能な任意の名前(docomo_business_RINK_IDaaSなど)
URLリスト①
必須
・portal.trustlogin.com
・tl-prod-cluster-images.s3.*.amazonaws.com
URLリスト②
AD連携利用する場合に追加が必要(オプション)
・a-mq-ad.services.sku.id:5671
・b-mq-ad.services.sku.id:5671
URLリスト③
クライアント認証を利用する場合に追加が必要(オプション)
・cert.sku.id
・cert.trustlogin.com
・ocsp.globalsign.com
・crl.globalsign.com
・secure.globalsign.com
../_images/docomo-business-RINK-IDaaS_Setting16.png

docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定②[セキュリティポリシールール追加]

本項ではdocomo business RINK IDaaSの認証連携時の通信をUTMにて明示的に許可するセキュリティポリシーを追加します。

下記以外のパラメータについては、任意のパラメータで指定してください。

FSGコンソールから、 UTM機能(セキュリティポリシールール)の設定をする の手順に従って、下記のdocomo business RINK IDaaSの認証通信を許可するセキュリティポリシーを追加します。

セキュリティポリシー追加内容
項目 設定内容
名前 識別可能な任意の名前(docomo_business_RINK_IDaaSなど)
ログ ログあり
送信元IPアドレス any
宛先IPアドレス any
宛先TCPポート any
カスタムURLカテゴリ/カスタムURLカテゴリリスト 前項 で作成したURLカテゴリ(docomo_business_RINK_IDaaSなど)
アプリケーションリスト any
アクション Allow

注釈

  • 上記以外の項目については、任意のパラメータで指定できます。
  • UTMの仕様により、セキュリティポリシールールにて設定していない通信は原則としてすべて許可されません。
  • docomo business RINK IDaaSによる認証成功後に許可する必要のある外部向け通信については、本項で設定したルールの下段に配置し許可ルールを追加してください。
../_images/docomo-business-RINK-IDaaS_Setting17.png

セキュリティポリシーの完了したら、FSGコンソールの「優先度変更」をクリックして、作成済みポリシーを最上段に配置してください。

../_images/docomo-business-RINK-IDaaS_Setting18.png

docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定③[Captive Portal認証除外の設定追加]

本項ではdocomo business RINK IDaaSの認証連携時の通信をCaptive Portalの認証判定から明示的に除外する設定を追加します。

FSGコンソールから、 Captive Portal認証除外の設定をする の手順に従って、下記のdocomo business RINK IDaaSの認証通信をCaptive Portal認証設定に追加します。

Captive Portal除外設定内容
項目 設定内容
名前 識別可能な任意の名前(docomo_business_RINK_IDaaSなど)
送信元IPアドレス any
宛先IPアドレス any
宛先TCPポート any
カスタムURLカテゴリ/カスタムURLカテゴリリスト 前々項 で作成したURLカテゴリ(docomo_business_RINK_IDaaSなど)
../_images/docomo-business-RINK-IDaaS_Setting19.png
連携先Microsoft Entra IDの設定
Captive Portalの設定をする