SAML 2.0 ID プロバイダーを使用したシングルサインオンの設定
シングルサインオン(SSO)は、単一のログイン資格情報セットで複数のアプリケーションやWebサイトに安全にログインできるようにする認証方法です。
セキュリティ アサーション マークアップ言語 (SAML) は、サービス プロバイダー (SP) と ID プロバイダー (IdP) 間の認証と承認のためのフレームワークです。ここでは、デジタル署名された XML ドキュメントを使用して認証が交換されます。サービスプロバイダーは、IdP を信頼してユーザーを認証することに同意します。その返りとして、IdP はユーザーが認証されたことを示す認証アサーションを生成します。
利点
-
SAML認証を使用すると、Juniper ATP Cloudをコーポレートアイデンティティプロバイダ(IdP)と簡単に統合して、シングルサインオンを行うことができます。IdP に対して認証されると、Juniper ATP クラウドに対して自動的に認証されます。Juniper ATP Cloudポータルにアクセスするたびに、個別のパスワードを覚えたり、認証情報を入力したりする必要はありません。
-
SAML プロトコルは、サービスプロバイダーが開始する SSO に対してのみサポートされます。ジュニパーATPクラウドは、サービスプロバイダーとしてSAML 2.0ウェブSSOプロファイルと互換性があります。
ステップ 1: IdP で SSO 設定を構成する
例:OktaをIdPとしてSSOを構成する
このセクションでは、OktaをIDプロバイダー(IdP)としてSSOを構成する手順について説明します。
-
このセクションで提供される情報は、Oktaによる現在のSAMLを使用したSSOの実装に基づいており、変更される可能性があります。詳細については、「 Oktaのドキュメント」を参照してください。
- すでにOktaのアカウントを持っている必要があります。
- 以下の操作を行うには、管理者としてログインする必要があります。
- Oktaポータルにログインします。
- 「アプリケーション」に移動し、「 アプリケーション」>「アプリケーション統合の作成」をクリックします。
- [サインイン方法] セクションで [ SAML 2.0 ] を選択し、[ 次へ] をクリックします。
- アプリケーションの [全般] 設定 (アプリケーション名、アプリケーション ロゴ、アプリケーションの可視性など) を入力します。[ 次へ] をクリックします。
- SAML 設定を構成します。ガイドラインについては、 表 1 を参照してください。
- [ 次へ] をクリックします。
- 顧客かパートナーかを選択します。[ 完了] をクリックします。
これで、アプリケーションがOktaに追加されました。「 サインオン 」タブをクリックします。Okta IdPメタデータ・ファイルをダウンロードできます。このメタデータ・ファイルを使用して、Okta IdP SSO設定をジュニパーATPクラウドに動的にインポートできます。
- [グループの追加] > [ディレクトリ>グループ] に移動し、グループを追加します。ロールごとに個別のグループを作成します。たとえば、role_administrator、role_operator、role_observer などです。
グループ名は重要です。Juniper ATPクラウドポータルでユーザーロールマッピングに使用するグループ名を書き留めておきます。表 4 を参照してください
. - グループ名をクリックし、ユーザーとアプリケーションをグループに追加します。
- [ ユーザーの管理 ] をクリックし、リストからユーザーを選択します。これで、ユーザーが [メンバーなし ] リストから [メンバー ] リストに追加されました。
- 「 保存」をクリックします。これで、ユーザーがグループに割り当てられました。
畑 |
形容 |
---|---|
一般設定 |
|
シングル サインオン URL |
SAML アサーションが HTTP POST で送信される場所。これは、多くの場合、アプリケーションの SAML アサーション コンシューマー サービス (ACS) URL と呼ばれます。 |
対象ユーザー URI (SP エンティティ ID) |
SAML アサーションの対象ユーザーであるアプリケーション定義の固有 ID。これは、ジュニパーATPクラウドのSPエンティティID(グローバルに一意の識別子)です。 |
デフォルトのリレー状態 |
(オプション)IdP によって開始されるシングル サインオンのシナリオで特定のアプリケーション リソースを識別します。ほとんどの場合、これは空白です。 Juniper ATP Cloudは、IdPが開始するSSOをサポートしていません。このフィールドは空白のままにしておくことをお勧めします。 |
名前 ID の形式 |
アサーションのサブジェクトステートメントの SAML 処理ルールと制約を識別します。リストから名前 ID 形式を選択します。アプリケーションが明示的に特定の形式を必要とする場合を除き、既定値の 'Unspecified' を使用します。 このフィールドはジュニパーATPクラウドWebポータルでは使用されないため、デフォルト値のままです。 |
アプリケーション ユーザー名 |
ユーザーのアプリケーション ユーザー名の既定値を決定します。アプリケーション ユーザー名は、アサーションのサブジェクト ステートメントに使用されます。リストからアプリケーションのユーザー名を選択します。 このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。 |
詳細設定 |
|
応答 |
SAML 認証応答メッセージが IDP によってデジタル署名されているかどうかを決定します。IdP によって交換される情報の完全なプライバシーを保証するには、デジタル署名が必要です。 このフィールドを [署名済み] に設定する必要があります。 |
アサーション署名 |
SAML アサーションがデジタル署名されているかどうかを判断します。IDP のみがアサーションを生成したことを確認するには、デジタル署名が必要です。 このフィールドを [署名済み] に設定する必要があります。 |
署名アルゴリズム |
SAML アサーションと応答にデジタル署名するために使用する署名アルゴリズムを決定します。 Oktaは、RSA-SHA256およびRSA-SHA1署名アルゴリズムを提供します。任意のアルゴリズムを設定できます。
手記:
RSA-SHA1はまもなく廃止予定であるため、アルゴリズムRSA-SHA256を設定することをお勧めします。 |
ダイジェストアルゴリズム |
SAML アサーションと応答にデジタル署名するために使用するダイジェストアルゴリズムを決定します。 OktaはSHA256およびSHA1ダイジェスト・アルゴリズムを提供します。任意のアルゴリズムを設定できます。 |
アサーション暗号化 |
SAML アサーションが暗号化されているかどうかを決定します。暗号化により、送信者と受信者以外の誰もアサーションを理解できなくなります。 このフィールドを暗号化に設定する必要があるのは、Juniper ATP Cloud ATP SSO 設定で SAML 応答の暗号化 を有効にする場合のみです。 |
シングルログアウトを有効にする |
SAML シングルログアウトを有効にします。 このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。 |
アサーションインラインフック |
このフィールドは無効です。 このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。 |
認証コンテキストクラス |
アサーションの認証ステートメントの SAML 認証コンテキストクラスを識別します このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。 |
名誉力認証 |
SPから要求された場合は、ユーザーに再認証を求めるプロンプトを表示します。 このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。 |
SAML 発行者 ID |
SAML IdP 発行者 ID。 このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。 |
属性ステートメント |
新しいSAML統合を作成するとき、または既存のSAML統合を変更するときに、カスタム属性ステートメントを定義できます。これらのステートメントは、Juniper ATP Cloudと共有されるSAMLアサーションに挿入されます。
属性ステートメントのサンプルを 表 2 に示します。 |
グループ属性ステートメント(オプション) |
Okta組織でグループを使用してユーザーを分類する場合は、アプリケーションと共有するSAMLアサーションにグループ属性ステートメントを追加できます。 ユーザーのグループは、SAML 応答の属性ステートメントにマップされます。グループ属性は、どのユーザーがどのグループに属しているかを識別するのに役立ちます。
role_administrtor、role_observer、およびrole_operatorのグループ属性を作成し、グループにユーザーを追加できます。 グループ属性ステートメントのサンプルを 表 3 に示します。 |
SAML アサーションをプレビューする |
クリックすると、アサーションで使用される XML ファイルが表示されます。 |
名前 | 名前の形式 | 値 |
---|---|---|
お名前(名) | 未指定 | user.lastName |
姓 | 未指定 | ユーザー.姓 |
電子メール | 未指定 | user.email |
名と姓の属性はオプションです。ジュニパーATPクラウドSSO SAMLプロバイダー設定で、 ユーザー名属性という名前の必須フィールドを設定する必要があります。ジュニパーATPクラウドで設定する予定の属性値が何であれ、Okta IdPで同じ属性値を設定する必要があります。
たとえば、[ジュニパーATPクラウドSSO SAMLプロバイダー設定]の [ユーザー名属性 ]の値を [user.email]に設定する場合は、Okta IdPで同じ属性を 属性値を user.email に設定する必要があります。
名前 |
名前の形式 |
フィルター |
|
---|---|---|---|
役割 |
未指定 |
含む |
役割 |
Oktaでの役割のマッピング | ジュニパーATPクラウドポータルでの役割のマッピング |
---|---|
role_administrator |
Juniper ATPクラウドポータルでSSO設定を構成するときに、[管理者]フィールドを[role_administrator]に設定します。 |
role_operator |
ジュニパーATPクラウドポータルでSSO設定を構成するときに、[オペレーターフィールド]を[role_operator]に設定します。 |
role_observer |
ジュニパーATPクラウドポータルでSSO設定を構成するときに、[オブザーバーフィールド]を[role_observer]に設定します。 |
例: Microsoft Azure を IdP として SSO を構成する
このセクションでは、Microsoft Azure を ID プロバイダー (IdP) として使用して SSO を構成する手順について説明します。
-
このセクションで提供される情報は、Microsoft Azure による現在の SAML を使用した SSO の実装に基づいており、変更される可能性があります。詳細については、「 Microsoft Azure のドキュメント」を参照してください。
- Microsoft Azure のアカウントを既にお持ちである必要があります。
- 以下の操作を行うには、管理者としてログインする必要があります。
- Azure ポータルにログインします。
- [ Azure Active Directory] > [エンタープライズ アプリケーション] をクリックします。
- [ + 新しいアプリケーション] > [+ 独自のアプリケーションを作成] をクリックします。
- アプリケーション名を入力し、[ 作成] をクリックします。
新しいアプリケーションが [すべてのアプリケーション] ページに一覧表示されます。
- アプリケーション名をクリックします。
- [ ユーザーとグループの割り当て] > [ユーザー/グループの追加] をクリックします。
[割り当ての追加] ページが表示されます。
- [ 選択なし] をクリックします。「 ユーザーとグループ 」リストからユーザーとグループを選択し、「 選択」をクリックします。
手記:
グループにアプリケーションを割り当てると、グループに直接参加しているユーザーのみがアクセスできます。割り当ては入れ子になったグループにカスケードされません。
- [割り当て] をクリックします。サンプルのユーザーおよびグループについては、表 5 を参照してください
- [ >シングル サインオン> SAML の管理] に移動します。 表 6 に示すガイドラインに従って設定を構成します。
- [ テスト ] をクリックして、SSO が動作しているかどうかを確認します。
手記:
サインインする前に、[ユーザーとグループ] にユーザーを追加する必要があります。
- [セキュリティ > トークンの暗号化] > [証明書のインポート] に移動し、暗号化証明書をアップロードします。IdP 管理者は、トークンの暗号化を有効にするには、証明書を生成してアップロードする必要があります
表示名 | オブジェクト タイプ | 割り当てられたロール |
---|---|---|
role_administrator |
群 |
利用者 |
role_observer |
群 |
利用者 |
role_operator |
群 |
利用者 |
畑 |
形容 |
---|---|
SAML の基本設定 |
|
識別子 (エンティティ ID) |
(必須)既定の識別子は、IDP によって開始された SSO の SAML 応答の対象ユーザーになります。この値は、Azure Active Directory テナント内のすべてのアプリケーションで一意である必要があります |
応答 URL (アサーション コンシューマー サービス URL) |
(必須)既定の応答 URL は、IDP によって開始される SSO の SAML 応答の宛先になります。応答 URL は、アプリケーションが認証トークンを受け取ることを期待する場所です。これは、SAML では "アサーション コンシューマー サービス" (ACS) とも呼ばれます。 |
サインオン URL |
(オプション)この URL には、サービス プロバイダーが開始するシングル サインオンを実行するこのアプリケーションのサインイン ページが含まれています。ID プロバイダーによって開始された SSO を実行する場合は空白のままにします。 |
リレー状態 |
(オプション)リレー状態は、認証の完了後にユーザーをリダイレクトする場所をアプリケーションに指示し、値は通常、ユーザーをアプリケーション内の特定の場所に誘導する URL または URL パスです。この形式の値は、IdP によって開始された SSO フローでのみ有効になります。 Juniper ATP Cloudは、IdPが開始するSSOをサポートしていません。このフィールドは空白のままにしておくことをお勧めします。 |
ユーザー属性とクレーム ATP に関連付けるアクセス コントロール グループを定義するパラメータ。アクセス コントロール グループは、Juniper ATP ロールにマッピングされます。 |
|
一意のユーザー識別子 |
(オプション)名前 ID を指定します。 例: user.userprincipalname [nameid-format:emailAddress] |
+新しい請求を追加 |
Juniper ATP クラウドに発行された SAML トークンを設定するために Azure AD によって使用される要求を定義します。 新しい要求を追加するには:
表 7 を参照してください。
手記:
名と姓の属性はオプションです。ジュニパーATPクラウドSSO SAMLプロバイダー設定では、 ユーザー名属性という名前の必須フィールドを設定する必要があります。Juniper ATP クラウドで設定する属性値が何であれ、Azure IdP で同じ属性値を設定する必要があります。設定しないと、SSO は失敗します。 たとえば、Juniper ATP Cloud SSO SAML プロバイダー設定の [ユーザー名属性 ] の値を [メールアドレス] に設定する場合は、Azure IdP で同じ属性名を user.mail という属性値で設定する必要があります。 |
+ グループ要求を追加する |
ジュニパーATPクラウドに発行されたSAMLトークンを設定するためにAzure ADが使用するグループ要求を定義します。 新しいグループ要求を追加するには:
|
SAML 署名証明書 |
|
地位 |
アプリケーションに発行された SAML トークンに署名するために Azure AD によって使用される SAML 証明書の状態を表示します。 |
拇印 |
SAML 証明書の拇印を表示します。 |
満了 |
SAML 証明書の有効期限を表示します。 |
通知メール |
通知のメールアドレスが表示されます。 |
アプリ フェデレーション メタデータ URL |
SAML の Azure IdP メタデータ URL を表示します。 |
証明書(Base64) |
(オプション)クリックして Base64 証明書をダウンロードします。 |
証明書(未加工) |
(オプション)クリックして Raw 証明書をダウンロードします。 |
フェデレーション メタデータ XML |
(オプション)クリックすると、フェデレーション メタデータ ドキュメントがダウンロードされます。 |
シグネチャー アルゴリタム | SAML アサーションと応答にデジタル署名するために使用する署名アルゴリズムを決定します。 Azure には、RSA-SHA256 および RSA-SHA1 署名アルゴリズムが用意されています。任意のアルゴリズムを設定できます。
手記:
RSA-SHA1はまもなく廃止予定であるため、アルゴリズムRSA-SHA256を設定することをお勧めします。 |
アプリケーションのセットアップ(ジュニパーATPクラウド) |
|
ログインURL |
Microsoft AzureのログインURLが表示されます。認証用のログインURLにリダイレクトされます。 例: https://login.microsoftonline.com/ff08d407-69c4-4850-9af0-29034d31ab36/saml2 |
Azure AD 識別子 |
SAML アサーションの対象ユーザーを表示します。これは、Azure IdP のエンティティ ID (グローバル一意識別子) です。 例: https://sts.windows.net/ff08d407-69c4-4850-9af0-29034d31ab36/ |
ログアウト URL |
Microsoft AzureのログアウトURLを表示します。 このフィールドは、ジュニパーATPクラウドではまだサポートされていません。 |
属性名 | ソース属性値 | の説明 |
---|---|---|
与えられた名前 | ユーザー.与えられた名前 | givenname属性は、ATPクラウドでユーザーの姓をマッピングするために使用されます。 |
名字 | ユーザー.姓 | 姓属性は、ATPクラウドでユーザーの姓をマッピングするために使用されます。 |
メールアドレス | ユーザー.メール | |
emailaddress属性は、ATPクラウドでユーザーのEメールアドレスをマッピングするために使用されます。 |
ステップ2:ジュニパーATPクラウドWebポータルでSSO設定を構成する
SSO設定の構成を参照してください。
ステップ 3: SSO 構成をアクティブ化する
SSO 設定を有効化するには、Juniper ATP Cloud ポータルにログインし、[ 管理] > [シングル サインオン設定 ] に移動して、[ 有効化] をクリックします。
手順 4: SSO 構成をテストする
サービスプロバイダが開始するSSO(ジュニパーATPクラウド):SSOを使用してジュニパーATPクラウドWebポータルにログインします。IdP SSO で認証する前にジュニパー ATP クラウド Web ポータルにログインした場合、ATP クラウドのレルムに基づいて、認証のために IdP ポータルにリダイレクトされます。IdP で認証すると、Juniper ATP Cloud Web ポータルにログインします。
-
ID プロバイダー - IdP SSO アカウントにログインすると、IdP と統合されているアプリケーションのリストが提供され、任意のアプリケーションにアクセスできます。たとえば、Juniper ATP Cloudアプリケーションをクリックすると、Juniper ATP Cloudウェブポータルに移動します。
SSO 構成のトラブルシューティング
ジュニパーATPクラウドでSAML 2.0を使用する際のエラーや問題のトラブルシューティングには、以下の情報を使用します。
- 国土
-
SSO 設定はレルムごとに構成されます。ローカル・ユーザーとSAMLユーザーの両方がレルム内に共存できます。デフォルトでは、レルムの作成者 (管理者) はローカル・ユーザーです。
-
構成が正しくないためにSSOが失敗し、SSOユーザーがログインできない場合は、レルムへのローカル・ログイン・アクセス権を持つレルム作成者(管理者)に連絡してください。管理者はATPクラウドカスタマーポータルURLを使用してログインし、レルムのSSO構成を修正できます。
-
- ロールマッピング
-
Juniper ATP Cloudには、ユーザープロファイル作成ユースケースの一部として、「管理者」、「オペレーター」、「オブザーバー」の役割が設定されています。
-
IdP で ATP ユーザーを認証するには、最終的に ATP ロールにマッピングされる ATP ユーザーを定義するグループが IdP に少なくとも 1 つ必要です。
-
ユーザーは、ATP ロールタイプ(「管理者」、「オペレーター」、「オブザーバー」)ごとに IdP グループを作成し、IdP 設定時にロールを適切にマッピングできます。
-
ユーザーグループが IdP のマッピングと一致しない場合は、ユーザーにエラーメッセージが表示されます。
-
- 多要素認証
-
IdP が独自のステップアップ認証機能を提供する場合、SSO ユーザーはステップアップ認証のために SSO サイトにリダイレクトされます。シングルサインオンが有効な場合、Juniper ATPクラウドでのMFA認証は無効になります。
-
同じレルム上のローカル・ユーザーは、ATPの多要素認証を引き続き使用できます。
-
- パスワード
-
パスワードを忘れた SSO ユーザーは、IdP サイトにログインしてパスワードをリセットする必要があります。ユーザーがレルム名を指定してSSOを試みた場合、ATPクラウドポータルは、認証のためにユーザーをIdPサイトにリダイレクトします。IdP サイトでユーザー認証に失敗した場合。その後、ユーザーは IdP サイトからパスワードをリセットする必要があります。
-
ジュニパーATPクラウドポータルの[パスワードを忘れた場合]オプションは、SSO が構成されていないレルム用です。
-