連携先docomo business RINK IDaaSの設定¶
連携先docomo business RINK IDaaSの設定方法について説明します。
注釈
手順¶
操作対象のセルグループを左ペインのドロップダウンリストから選択します。
左ペインの[Active Directory]を押下します。
Microsoft Entra ID左の[v]を押下して、Microsoft Entra IDに関する設定アコーディオンを展開します。
Active Directory Server欄の[新規追加]を押下します。
必要な項目を記載します。
項目 |
説明 |
名前 |
SAML Identity Provider Configの名前
(本設定はActive Directory利用設定で利用するため、わかりやすい名前を付けることをお勧めします)
|
フェデレーションメタデータXMLアップロード |
docomo business RINK IDaaSからダウンロードしたフェデレーションメタデータXMLファイルをアップロードしてください。
|
編集が完了したら[確認]を押下します。
編集内容に問題がなければ[実行]を押下します。
オーダーを受領後、下記のように申込受付画面が表示されます。
最新の情報を表示する際は[更新]を押下してください。
Tips¶
参考情報として、docomo business RINK IDaaS連携に必要な情報を確認/取得する方法について説明します。
注釈
docomo business RINK IDaaSの設定/保守に関するお問い合わせは、FSGのサポート範囲外になります。
詳細なdocomo business RINK IDaaS側の設定/保守については、 docomo business RINK IDaaSの説明ページ をご参照ください。
FSGコンソールでdocomo business RINK IDaaSに登録する識別子と応答URLの確認方法¶
docomo business RINK IDaaSと連携するためには、各セルの識別子と応答URLをdocomo business RINK IDaaS側に登録する必要があります。 各識別子と応答URLは、Microsoft Entra IDの設定アコーディオンに配置している[識別子/応答URL参照]を押下することで確認できます。
識別子と応答URLは docomo business RINK IDaaS上でのアプリ登録 で利用します。 docomo business RINK IDaaSでは、識別子および応答URLの共通部分(http://および:6082:/SAML20/SP、:6082:/SAML20/SP/ACS)の入力は不要となるため、共通部分に挟まれた各セルのIPアドレスを控えてください。
docomo business RINK IDaaS上でのアプリ登録¶
連携時に利用する専用アプリをdocomo business RINK IDaaSの管理ページにて登録します。
docomo business RINK IDaaSへ管理者がログイン後に表示されるマイページにて[管理]を押下します。
管理ページにて[アプリ]を押下します。
アプリ管理画面にて[アプリ登録]を押下します。
アプリ選択画面の検索ウィンドウにて[Flexible Secure Gateway]と入力して虫眼鏡アイコンを押下します。
検索結果から[FSG(Flexible Secure…]のアプリケーションを押下します。
アプリ設定画面から[メタデータをダウンロード]を押下し、ファイルをダウンロードします。
ダウンロード先のフォルダーにて、メタデータファイルがダウンロードされたことを確認します。
アプリの設定画面から、下記のパラメータを入力します。
項目 |
設定内容 |
---|---|
ログインURL・エンティティID |
FSGコンソールで確認した識別子/サインオンURL中の任意のセルのIPアドレス。
|
サービスへのACS URL |
FSGコンソールで確認した応答URL中のすべてのセルのIPアドレス。
|
注釈
ログインURLとエンティティIDに入力する値は同じ値(同一のセルのIPアドレス)としてください。
セルを冗長している場合は、セルグループ内のすべてのセルのIPアドレスを、各ウィンドウに一つずつ入力してください。
パラメータ入力後に[登録]を押下します。
docomo business RINK IDaaS上でのアプリ利用ユーザーの登録¶
アプリを利用するメンバーの登録を行います。
注釈
本項の設定にあたり、事前にdocomo business RINK IDaaSにて、利用ユーザーを登録しておく必要があります。
詳細なdocomo business RINK IDaaS側の設定については、docomo business RINK IDaaSの説明ページ をご参照ください。
登録後に表示されるアプリ管理画面から、登録済みの[FSG(Flexible Secure Gatew…]を押下します。
アプリ設定画面から[メンバー追加]を押下します。
メンバー追加画面で、FSGを利用するメンバーを選択します。
チェックが完了したら[登録]を押下します。
メンバー追加の完了メッセージが表示されたら利用ユーザーの登録は完了です。
docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定①[カスタムURLカテゴリ登録]¶
docomo business RINK IDaaSでは連携時の認証に用いる通信に対して、 Captive Portalでの認証除外設定やUTMでの通信許可設定が必要です。
本項では各種設定時に通信先として指定するdocomo business RINK IDaaSのURLをカスタムURLカテゴリとして登録します。
FSGコンソールから、docomo business RINK IDaaSの認証通信の宛先となるURLをカテゴリ登録します。
IDaaSで利用するオプションにより追加で登録が必要なURLがあるため、ご利用状況に応じて②③のURLリストに登録が必要です。 設定手順は カスタムURLカテゴリ設定をする を参照してください。
項目 |
設定内容 |
---|---|
名前 |
識別可能な任意の名前(docomo_business_RINK_IDaaSなど) |
URLリスト①
|
必須
・portal.trustlogin.com
・tl-prod-cluster-images.s3.*.amazonaws.com
|
URLリスト②
|
AD連携利用する場合に追加が必要(オプション)
・a-mq-ad.services.sku.id:5671
・b-mq-ad.services.sku.id:5671
|
URLリスト③
|
クライアント認証を利用する場合に追加が必要(オプション)
・cert.sku.id
・cert.trustlogin.com
・ocsp.globalsign.com
・crl.globalsign.com
・secure.globalsign.com
|
docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定②[セキュリティポリシールール追加]¶
本項ではdocomo business RINK IDaaSの認証連携時の通信をUTMにて明示的に許可するセキュリティポリシーを追加します。
下記以外のパラメータについては、任意のパラメータで指定してください。
FSGコンソールから、 UTM機能(セキュリティポリシールール)の設定をする の手順に従って、下記のdocomo business RINK IDaaSの認証通信を許可するセキュリティポリシーを追加します。
項目 |
設定内容 |
---|---|
名前 |
識別可能な任意の名前(docomo_business_RINK_IDaaSなど) |
ログ |
ログあり |
送信元IPアドレス |
any |
宛先IPアドレス |
any |
宛先TCPポート |
any |
カスタムURLカテゴリ/カスタムURLカテゴリリスト |
前項 で作成したURLカテゴリ(docomo_business_RINK_IDaaSなど) |
アプリケーションリスト |
any |
アクション |
Allow |
注釈
上記以外の項目については、任意のパラメータで指定できます。
UTMの仕様により、セキュリティポリシールールにて設定していない通信は原則としてすべて許可されません。
docomo business RINK IDaaSによる認証成功後に許可する必要のある外部向け通信については、本項で設定したルールの下段に配置し許可ルールを追加してください。
セキュリティポリシーの完了したら、FSGコンソールの[優先度変更]を押下して、作成済みポリシーを最上段に配置してください。
docomo business RINK IDaaS向け認証通信の認証除外/通信許可設定③[Captive Portal認証除外の設定追加]¶
本項ではdocomo business RINK IDaaSの認証連携時の通信をCaptive Portalの認証判定から明示的に除外する設定を追加します。
FSGコンソールから、 Captive Portal認証除外の設定をする の手順に従って、下記のdocomo business RINK IDaaSの認証通信をCaptive Portal認証設定に追加します。
項目 |
設定内容 |
---|---|
名前 |
識別可能な任意の名前(docomo_business_RINK_IDaaSなど) |
送信元IPアドレス |
any |
宛先IPアドレス |
any |
宛先TCPポート |
any |
カスタムURLカテゴリ/カスタムURLカテゴリリスト |
前々項 で作成したURLカテゴリ(docomo_business_RINK_IDaaSなど) |