連携先Microsoft Entra IDの設定変更

連携先Microsoft Entra IDの設定の変更方法について説明します。

手順

  1. 左ペインのドロップダウンリストから操作対象のセルグループを選択します。
  2. 左ペインの「Active Directory」を選択します。
../_images/active-directory01.png

  1. Microsoft Entra ID左の「v」をクリックして、Microsoft Entra IDサーバーに関する設定アコーディオンを展開します。
../_images/active-directory65.png

  1. 設定を変更したいSAML Identity Provider Configを選択し「操作」→「設定変更」を選択します。
../_images/active-directory73.png

  1. 変更する項目を記載し「確認」をクリックします。
../_images/active-directory74.png

SAML Identity Provider Config設定項目
項目 説明
名前
SAML Identity Provider Configの名前
(本設定はActive Directory利用設定で利用するため、わかりやすい名前を付けることをお勧めします)
フェデレーションメタデータXMLアップロード
Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。

注釈

  • Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルには証明書が2つ記述されている場合、XMLファイルを編集せずにアップロードすると「A single IDPSSO certificate」エラーとなります。
    詳しい修正方法は本ページのTipsをご参照ください。 (フェデレーションメタデータXMLファイルのサポートはFSGのサポート範囲外となります)
  1. 編集内容に問題がなければ「実行」をクリックします。
../_images/active-directory75.png

  1. オーダーを受領後、下記のように申込受付画面が表示されます。
../_images/active-directory76.png

  1. 「更新」ボタンをクリックすると最新の情報が表示されます。編集内容が反映されていることを確認してください。
../_images/active-directory70.png

コンフィグ反映

  1. 左ペインの「コンフィグ反映」ボタンをクリックしてセルに設定を反映してください。 コンフィグ反映手順

Tips

参考情報として、Microsoft Entra ID連携に必要な情報を確認/取得する方法について説明します。

注釈

  • Microsoft Entra IDの設定/保守に関するお問い合わせは、FSGのサポート範囲外になります。
  • Microsoft Entra IDの操作例は「Active Directoryユーザーとコンピュータ」を用いて説明します。
  • Azure側の操作方法は、Microsoftの 説明ページ をご参照ください。

FSGコンソールでのAzureに登録する識別子と応答URLの確認方法

Microsoft Entra IDと連携するためには、各セルの識別子と応答URLをAzure Portal側に登録する必要があります。
各識別子と応答URLは、Microsoft Entra IDに関する設定アコーディオンに配置している 「識別子/応答URL参照」ボタンをクリックすることで確認できます。
../_images/active-directory92.png
識別子と応答URLは シングル サインオン設定 で利用します。
../_images/active-directory93.png

Azure Portalでのアプリケーションの登録

Azure Portalを操作して「Palo Alto Networks - Captive Portal」をエンタープライズアプリケーションに登録する。
(アプリケーションを登録することでSAML署名証明書が自動生成されます)
../_images/active-directory82.png

Azure Portalでのユーザとグループ設定

Microsoft Entra ID連携するユーザとアカウントを設定する必要があります。
設定方法は「Palo Alto Networks - Captive Portal」に、Microsoft Entra IDに設定されたユーザもしくはグループの利用権限を付与することで連携できます。
../_images/active-directory83.png

Azure Portalでのシングル サインオン設定

基本的なSAML構成を編集して、識別子、応答URL、サインオンURLを設定する必要があります。
編集ボタンをクリックして設定変更ページを開いてください。
../_images/active-directory84.png
編集画面で識別子、応答URLとサインオンURLを入力してください。
識別子と応答URLは、 「FSGポータルでのAzureに登録する識別子と応答URLの確認方法」 をご参照ください。
../_images/active-directory85.png

注釈

  • 全セルの識別子と応答URLを登録してください

サインオンURLの入力フォームは下にスクロールすると表示されます。
お客様の全セルの中から任意のセルの応答URLを登録してください。
../_images/active-directory86.png

Azure PortalでのフェデレーションメタデータXMLダウンロード

FSGに登録するフェデレーションメタデータファイルをダウンロードしてください。
ダウンロードしたXMLファイルは SAML Identity Provider Config の手順でFSGに登録できます。
../_images/active-directory87.png

注釈

  • 識別子、応答URL、サインオンURLが設定されていない場合、フェデレーションメタデータXMLをダウンロードできません。
  • フェデレーションメタデータファイルに複数個の証明書が登録されている場合、FSGへの登録時にエラーとなります。
  • 証明書が複数個登録されている場合、エディタAzure Portal で不要な証明書を削除する必要があります。

Azure PortalでのSAML署名証明書の編集

Azure Portalを操作して不要な証明書を削除できます。
SAML署名証明書の編集ボタンをクリックして編集画面を開きます。
../_images/active-directory88.png
編集画面に複数個の証明書が表示されている場合は、不要な証明書の「...」をクリックし「証明書の削除」を選択します。
../_images/active-directory89.png
../_images/active-directory90.png

エディタを用いた証明書削除方法

ダウンロードしたフェデレーションメタデータファイルをエディタで開き、不要な証明書を削除します。
IDPSSODescriptorタグ配下のKeyDescriptorタグが証明書情報になります。
(証明書は、Azure Portalに表示されている順番でファイルに記載されています)
../_images/active-directory94.png