SAML Identity Provider Configの新規追加

SAML Identity Provider Configの新規追加方法について説明します。

注釈

  • Microsoft Entra ID連携機能をご利用いただくためには、お客さま側でAzureのアカウントを用意していただく必要がございます。
  • FSGサービスとしては、Microsoft Entra IDのサポートはいたしません。

手順

  1. 操作対象のセルグループを左ペインのドロップダウンリストから選択します。
  2. 左ペインの「Active Directory」を選択します。
../_images/active-directory01.png

  1. Microsoft Entra ID左の「v」を押下して、Microsoft Entra IDに関する設定アコーディオンを展開します。
../_images/active-directory65.png

  1. Active Directory Server欄の「新規追加」を選択します。
../_images/active-directory66.png

  1. 必要な項目を記載します。
SAML Identity Provider Config設定項目
項目 説明
名前
SAML Identity Provider Configの名前
(本設定はActive Directory利用設定で利用するため、わかりやすい名前を付けることをお勧めいたします)
フェデレーションメタデータXMLアップロード
Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。

注釈

  • Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルには証明書が2つ記述されている場合、XMLファイルを編集せずにアップロードすると"A single IDPSSO certificate"エラーとなります。
    詳しい修正方法は本ページのTipsをご参照ください。 (フェデレーションメタデータXMLファイルのサポートはFSGサービスの対象外となります)
  1. 編集が完了したら『確認』を押下します。
../_images/active-directory67.png

  1. 編集内容に問題がなければ『実行』を押下します。
../_images/active-directory68.png

  1. オーダーを受領後、下記のように申込受付画面が表示されます。
../_images/active-directory69.png

  1. 最新の情報を表示する際は、『更新』ボタンを押下してください。
../_images/active-directory70.png

コンフィグ反映

  1. 左ペインの「コンフィグ反映」ボタンを押下してセルに設定を反映してください。 コンフィグ反映手順

Tips

参考情報として、Microsoft Entra ID連携に必要な情報を確認/取得する方法について説明します。

注釈

  • Microsoft Entra IDの設定/保守に関するお問い合わせは、FSGのサービス範囲外になります。
  • 詳細なAzure側の操作方法については、Microsoftの 説明ページ をご参照ください。

FSGコンソールでのAzureに登録する識別子と応答URLの確認方法

Microsoft Entra IDと連携するためには、各セルの識別子と応答URLをAzure Portal側に登録する必要があります。
各識別子と応答URLは、Microsoft Entra IDに関する設定アコーディオンに配置している "識別子/応答URL参照"ボタンを押下することで確認できます。
../_images/active-directory92.png
識別子と応答URLは シングル サインオン設定 で利用します。
../_images/active-directory93.png

Azure Portalでのアプリケーションの登録

Azure Portalを操作して、「Palo Alto Networks - Captive Portal」をエンタープライズアプリケーションに登録する。
(アプリケーションを登録することでSAML署名証明書が自動生成されます)
../_images/active-directory82.png

Azure Portalでのユーザとグループ設定

Microsoft Entra ID連携するユーザとアカウントを設定する必要があります。
設定方法は「Palo Alto Networks - Captive Portal」に、Microsoft Entra IDに設定されたユーザもしくはグループの利用権限を付与することで連携できます。
../_images/active-directory83.png

Azure Portalでのシングル サインオン設定

基本的なSAML構成を編集して、識別子、応答URL、サインオンURLを設定する必要があります。
編集ボタンを押下して設定変更ページを開いてください。
../_images/active-directory84.png
編集画面で識別子、応答URLとサインオンURLを入力してください。
識別子と応答URLは、 「FSGコンソールでのAzureに登録する識別子と応答URLの確認方法」 をご参照ください。
../_images/active-directory85.png

注釈

  • 全セルの識別子と応答URLを登録してください

サインオンURLの入力フォームは下にスクロールすることで表示されます。
お客様の全セルの中から任意のセルの応答URLを登録してください。
../_images/active-directory86.png

Azure PortalでのフェデレーションメタデータXMLダウンロード

FSGに登録するフェデレーションメタデータファイルをダウンロードしてください。
ダウンロードしたXMLファイルは SAML Identity Provider Config の手順でFSGに登録することができます。
../_images/active-directory87.png

注釈

  • 識別子、応答URL、サインオンURLが設定されていない場合、フェデレーションメタデータXMLをダウンロードすることができません。
  • フェデレーションメタデータファイルに複数個の証明書が登録されている場合、FSGへの登録時にエラーとなります。
  • 証明書が複数個登録されている場合、不要な証明書を削除する必要があります。
  • 証明書が複数個登録されている場合、エディタAzure Portal で不要な証明書を削除する必要があります。

Azure PortalでのSAML署名証明書の編集

Azure Portalを操作して不要な証明書を削除することができます。
SAML署名証明書の編集ボタンを押下して編集画面を開きます。
../_images/active-directory88.png
編集画面に複数個の証明書が表示されている場合は、不要な証明書の「...」ボタンを押下し、「証明書の削除」を選択してください。
../_images/active-directory89.png
../_images/active-directory90.png

エディタを用いた証明書削除方法

ダウンロードしたフェデレーションメタデータファイルをエディタで開き、不要な証明書を削除してください。
IDPSSODescriptorタグ配下のKeyDescriptorタグが証明書情報になります。
(証明書は、Azure Portalに表示されている順番でファイルに記載されています)
../_images/active-directory94.png