SAML Identity Provider Configの新規追加¶
SAML Identity Provider Configの新規追加方法について説明します。
注釈
- Microsoft Entra ID連携機能をご利用いただくためには、お客さま側でAzureのアカウントを用意していただく必要がございます。
- FSGサービスとしては、Microsoft Entra IDのサポートはいたしません。
手順¶
- 操作対象のセルグループを左ペインのドロップダウンリストから選択します。
- 左ペインの「Active Directory」を選択します。
- Microsoft Entra ID左の「v」を押下して、Microsoft Entra IDに関する設定アコーディオンを展開します。
- Active Directory Server欄の「新規追加」を選択します。
- 必要な項目を記載します。
項目 | 説明 |
名前 | SAML Identity Provider Configの名前
(本設定はActive Directory利用設定で利用するため、わかりやすい名前を付けることをお勧めいたします)
|
フェデレーションメタデータXMLアップロード | Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。
|
注釈
- Azure PortalからダウンロードしたフェデレーションメタデータXMLファイルには証明書が2つ記述されている場合、XMLファイルを編集せずにアップロードすると"A single IDPSSO certificate"エラーとなります。詳しい修正方法は本ページのTipsをご参照ください。 (フェデレーションメタデータXMLファイルのサポートはFSGサービスの対象外となります)
- 編集が完了したら『確認』を押下します。
- 編集内容に問題がなければ『実行』を押下します。
- オーダーを受領後、下記のように申込受付画面が表示されます。
- 最新の情報を表示する際は、『更新』ボタンを押下してください。
Tips¶
参考情報として、Microsoft Entra ID連携に必要な情報を確認/取得する方法について説明します。
注釈
- Microsoft Entra IDの設定/保守に関するお問い合わせは、FSGのサービス範囲外になります。
- 詳細なAzure側の操作方法については、Microsoftの 説明ページ をご参照ください。
FSGコンソールでのAzureに登録する識別子と応答URLの確認方法¶
Microsoft Entra IDと連携するためには、各セルの識別子と応答URLをAzure Portal側に登録する必要があります。
各識別子と応答URLは、Microsoft Entra IDに関する設定アコーディオンに配置している "識別子/応答URL参照"ボタンを押下することで確認できます。
識別子と応答URLは シングル サインオン設定 で利用します。
Azure Portalでのアプリケーションの登録¶
Azure Portalを操作して、「Palo Alto Networks - Captive Portal」をエンタープライズアプリケーションに登録する。
(アプリケーションを登録することでSAML署名証明書が自動生成されます)
Azure Portalでのユーザとグループ設定¶
Microsoft Entra ID連携するユーザとアカウントを設定する必要があります。
設定方法は「Palo Alto Networks - Captive Portal」に、Microsoft Entra IDに設定されたユーザもしくはグループの利用権限を付与することで連携できます。
Azure Portalでのシングル サインオン設定¶
基本的なSAML構成を編集して、識別子、応答URL、サインオンURLを設定する必要があります。
編集ボタンを押下して設定変更ページを開いてください。
編集画面で識別子、応答URLとサインオンURLを入力してください。
識別子と応答URLは、 「FSGコンソールでのAzureに登録する識別子と応答URLの確認方法」 をご参照ください。
注釈
- 全セルの識別子と応答URLを登録してください
サインオンURLの入力フォームは下にスクロールすることで表示されます。
お客様の全セルの中から任意のセルの応答URLを登録してください。
Azure PortalでのフェデレーションメタデータXMLダウンロード¶
FSGに登録するフェデレーションメタデータファイルをダウンロードしてください。
ダウンロードしたXMLファイルは SAML Identity Provider Config の手順でFSGに登録することができます。
注釈
- 識別子、応答URL、サインオンURLが設定されていない場合、フェデレーションメタデータXMLをダウンロードすることができません。
- フェデレーションメタデータファイルに複数個の証明書が登録されている場合、FSGへの登録時にエラーとなります。
- 証明書が複数個登録されている場合、不要な証明書を削除する必要があります。
- 証明書が複数個登録されている場合、エディタ か Azure Portal で不要な証明書を削除する必要があります。
Azure PortalでのSAML署名証明書の編集¶
Azure Portalを操作して不要な証明書を削除することができます。
SAML署名証明書の編集ボタンを押下して編集画面を開きます。
編集画面に複数個の証明書が表示されている場合は、不要な証明書の「...」ボタンを押下し、「証明書の削除」を選択してください。
エディタを用いた証明書削除方法¶
ダウンロードしたフェデレーションメタデータファイルをエディタで開き、不要な証明書を削除してください。
IDPSSODescriptorタグ配下のKeyDescriptorタグが証明書情報になります。
(証明書は、Azure Portalに表示されている順番でファイルに記載されています)