SAML 2.0 ID プロバイダーを使用したシングルサインオンの設定 |ジュニパーネットワークス

利点

SAML認証を使用すると、Juniper ATP Cloudをコーポレートアイデンティティプロバイダ(IdP)と簡単に統合して、シングルサインオンを行うことができます。IdP に対して認証されると、Juniper ATP クラウドに対して自動的に認証されます。Juniper ATP Cloudポータルにアクセスするたびに、個別のパスワードを覚えたり、認証情報を入力したりする必要はありません。
ID プロバイダー開始 SSO とサービスプロバイダー開始 SSO の両方で SAML プロトコルがサポートされています。ジュニパーATPクラウドは、サービスプロバイダーとしてSAML 2.0ウェブSSOプロファイルと互換性があります。

例:OktaをIdPとしてSSOを構成する

このセクションでは、OktaをIDプロバイダー(IdP)としてSSOを構成する手順について説明します。

メモ：

このセクションで提供される情報は、Oktaによる現在のSAMLを使用したSSOの実装に基づいており、変更される可能性があります。詳細については、「 Oktaのドキュメント」を参照してください。
すでにOktaのアカウントを持っている必要があります。
以下の操作を行うには、管理者としてログインする必要があります。

Oktaポータルにログインします。
「アプリケーション」に移動し、「アプリケーション」>「アプリケーション統合の作成」をクリックします。
[サインイン方法] セクションで [ SAML 2.0 ] を選択し、[ 次へ] をクリックします。
アプリケーションの [全般] 設定 (アプリケーション名、アプリケーションロゴ、アプリケーションの可視性など) を入力します。[ 次へ] をクリックします。
SAML 設定を構成します。ガイドラインについては、表 1 を参照してください。
[ 次へ] をクリックします。
顧客かパートナーかを選択します。[ 完了] をクリックします。
これで、アプリケーションがOktaに追加されました。「サインオン」タブをクリックします。Okta IdPメタデータ・ファイルをダウンロードできます。このメタデータ・ファイルを使用して、Okta IdP SSO設定をジュニパーATPクラウドに動的にインポートできます。
[グループの追加] > [ディレクトリ>グループ] に移動し、グループを追加します。ロールごとに個別のグループを作成します。たとえば、role_administrator、role_operator、role_observer などです。
グループ名は重要です。Juniper ATPクラウドポータルでユーザーロールマッピングに使用するグループ名を書き留めておきます。表 4 を参照してください
.
グループ名をクリックし、ユーザーとアプリケーションをグループに追加します。
[ ユーザーの管理 ] をクリックし、リストからユーザーを選択します。これで、ユーザーが [メンバーなし ] リストから [メンバー ] リストに追加されました。
「保存」をクリックします。これで、ユーザーがグループに割り当てられました。

表1:OktaのSSO SAML設定
フィールド	説明
一般設定
シングルサインオン URL	SAML アサーションが HTTP POST で送信される場所。これは、多くの場合、アプリケーションの SAML アサーションコンシューマーサービス (ACS) URL と呼ばれます。例: https://canada.sky.junipersecurity.net/portal/sso/acs
対象ユーザー URI (SP エンティティ ID)	SAML アサーションの対象ユーザーであるアプリケーション定義の固有 ID。これは、ジュニパーATPクラウドのSPエンティティID(グローバルに一意の識別子)です。例: https://canada.sky.junipersecurity.net
デフォルトのリレー状態	(オプション)IDP が開始するシングルサインオンシナリオで特定のアプリケーションリソースを識別します。ほとんどの場合、これは空白です。このフィールドは空白のままにすることをお勧めします。
名前 ID の形式	アサーションのサブジェクトステートメントの SAML 処理ルールと制約を識別します。リストから名前 ID 形式を選択します。アプリケーションが明示的に特定の形式を必要とする場合を除き、既定値の 'Unspecified' を使用します。このフィールドはジュニパーATPクラウドWebポータルでは使用されないため、デフォルト値のままです。
アプリケーションユーザー名	ユーザーのアプリケーションユーザー名の既定値を決定します。アプリケーションユーザー名は、アサーションのサブジェクトステートメントに使用されます。リストからアプリケーションのユーザー名を選択します。このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。
詳細設定
応答	SAML 認証応答メッセージが IDP によってデジタル署名されているかどうかを決定します。IdP によって交換される情報の完全なプライバシーを保証するには、デジタル署名が必要です。このフィールドを [署名済み] に設定する必要があります。
アサーション署名	SAML アサーションがデジタル署名されているかどうかを判断します。IDP のみがアサーションを生成したことを確認するには、デジタル署名が必要です。このフィールドを [署名済み] に設定する必要があります。
署名アルゴリズム	SAML アサーションと応答にデジタル署名するために使用する署名アルゴリズムを決定します。 Oktaは、RSA-SHA256およびRSA-SHA1署名アルゴリズムを提供します。任意のアルゴリズムを設定できます。メモ： RSA-SHA1はまもなく廃止予定であるため、アルゴリズムRSA-SHA256を設定することをお勧めします。
ダイジェストアルゴリズム	SAML アサーションと応答にデジタル署名するために使用するダイジェストアルゴリズムを決定します。 OktaはSHA256およびSHA1ダイジェスト・アルゴリズムを提供します。任意のアルゴリズムを設定できます。
アサーション暗号化	SAML アサーションが暗号化されているかどうかを決定します。暗号化により、送信者と受信者以外の誰もアサーションを理解できなくなります。このフィールドを暗号化に設定する必要があるのは、Juniper ATP Cloud ATP SSO 設定で SAML 応答の暗号化を有効にする場合のみです。
シングルログアウトを有効にする	SAML シングルログアウトを有効にします。このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。
アサーションインラインフック	このフィールドは無効です。このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。
認証コンテキストクラス	アサーションの認証ステートメントの SAML 認証コンテキストクラスを識別しますこのフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。
名誉力認証	SPから要求された場合は、ユーザーに再認証を求めるプロンプトを表示します。このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。
SAML 発行者 ID	SAML IdP 発行者 ID。このフィールドはJuniper ATPクラウドでは使用されないため、デフォルト値のままです。
属性ステートメント	新しいSAML統合を作成するとき、または既存のSAML統合を変更するときに、カスタム属性ステートメントを定義できます。これらのステートメントは、Juniper ATP Cloudと共有されるSAMLアサーションに挿入されます。名前 — 属性の参照名。最大長は 512 文字です。Name 属性は、すべてのユーザー属性ステートメントとグループ属性ステートメントで一意である必要があります。ここで、Juniper ATP Cloudのマッピングを指定します。例名(オプション) 姓 (オプション) ユーザー名 (必須) メモ：ユーザー名属性は、ジュニパーATPクラウドでは必須です。Juniper ATPクラウドポータルへのログインに使用されます。名前の形式 — 名前属性の形式。サポートされている形式は次のとおりです。未指定:Oktaプロファイルで定義された任意の形式にすることができ、アプリケーションによって解釈される必要があります。 URI 参照 — 名前は統一リソース識別子文字列として提供されます。 Basic —単純な文字列。他の形式が指定されていない場合の既定値。値 — Name 要素によって定義される属性の値。管理者は、(Okta式言語を使用して)カスタム式を作成し、Oktaユーザー・プロファイルの値を参照できます。このフィールドの最大長は 1024 文字です。属性ステートメントのサンプルを表 2 に示します。
グループ属性ステートメント(オプション)	Okta組織でグループを使用してユーザーを分類する場合は、アプリケーションと共有するSAMLアサーションにグループ属性ステートメントを追加できます。ユーザーのグループは、SAML 応答の属性ステートメントにマップされます。グループ属性は、どのユーザーがどのグループに属しているかを識別するのに役立ちます。 SAML アプリでグループ属性の名前を入力します。例: ロール名前の形式を選択します。式の [フィルタリング] オプションを選択します: [次で始まる]、[等しい]、[含む]、または [一致する] 正規表現 Okta GroupName値との照合に使用され、SAMLアサーションに追加される式を入力します。 role_administrtor、role_observer、およびrole_operatorのグループ属性を作成し、グループにユーザーを追加できます。グループ属性ステートメントのサンプルを表 3 に示します。
SAML アサーションをプレビューする	クリックすると、アサーションで使用される XML ファイルが表示されます。

名前

表2: Oktaの属性ステートメントの例
	名前の形式	値
Firstname	未指定	user.lastName
Lastname	未指定	ユーザー.姓
電子メール	未指定	user.email

メモ：

名と姓の属性はオプションです。ジュニパーATPクラウドSSO SAMLプロバイダー設定で、ユーザー名属性という名前の必須フィールドを設定する必要があります。ジュニパーATPクラウドで設定する予定の属性値が何であれ、Okta IdPで同じ属性値を設定する必要があります。

たとえば、[ジュニパーATPクラウドSSO SAMLプロバイダー設定]の[ユーザー名属性]の値を[user.email]に設定する場合は、Okta IdPで同じ属性を属性値を user.email に設定する必要があります。

表3: Oktaのグループ属性ステートメントのサンプル
名前	名前の形式	フィルター
役割	未指定	含む	役割

マッピング

表4:Oktaでの役割マッピングの例
Oktaでの役割の	ジュニパーATPクラウドポータルでの役割のマッピング
role_administrator	Juniper ATPクラウドポータルでSSO設定を構成するときに、[管理者]フィールドを[role_administrator]に設定します。
role_operator	ジュニパーATPクラウドポータルでSSO設定を構成するときに、[オペレーターフィールド]を[role_operator]に設定します。
role_observer	ジュニパーATPクラウドポータルでSSO設定を構成するときに、[オブザーバーフィールド]を[role_observer]に設定します。

例: Microsoft Azure を IdP として SSO を構成する

このセクションでは、Microsoft Azure を ID プロバイダー (IdP) として使用して SSO を構成する手順について説明します。

メモ：

このセクションで提供される情報は、Microsoft Azure による現在の SAML を使用した SSO の実装に基づいており、変更される可能性があります。詳細については、「 Microsoft Azure のドキュメント」を参照してください。
Microsoft Azure のアカウントを既にお持ちである必要があります。
以下の操作を行うには、管理者としてログインする必要があります。

Azure ポータルにログインします。
[ Azure Active Directory] > [エンタープライズアプリケーション] をクリックします。
[+ 新しいアプリケーション] > [+ 独自のアプリケーションを作成] をクリックします。
アプリケーション名を入力し、[ 作成] をクリックします。
新しいアプリケーションが [すべてのアプリケーション] ページに一覧表示されます。
アプリケーション名をクリックします。
[ ユーザーとグループの割り当て] > [ユーザー/グループの追加] をクリックします。
[割り当ての追加] ページが表示されます。
[ 選択なし] をクリックします。「ユーザーとグループ」リストからユーザーとグループを選択し、「選択」をクリックします。
メモ：
グループにアプリケーションを割り当てると、グループに直接参加しているユーザーのみがアクセスできます。割り当ては入れ子になったグループにカスケードされません。
[割り当て] をクリックします。サンプルのユーザーおよびグループについては、表 5 を参照してください
[ >シングルサインオン> SAML の管理] に移動します。表 6 に示すガイドラインに従って設定を構成します。
[ テスト ] をクリックして、SSO が動作しているかどうかを確認します。
メモ：
サインインする前に、[ユーザーとグループ] にユーザーを追加する必要があります。
[セキュリティ > トークンの暗号化] > [証明書のインポート] に移動し、暗号化証明書をアップロードします。IdP 管理者は、トークンの暗号化を有効にするには、証明書を生成してアップロードする必要があります

表 5: Microsoft Azure のユーザーおよびグループ設定の例
表示名	オブジェクトタイプ	割り当てられたロール
role_administrator	グループ	ユーザー
role_observer	グループ	ユーザー
role_operator	グループ	ユーザー

表 6: Microsoft Azure の SSO 設定
フィールド	説明
SAML の基本設定
識別子 (エンティティ ID)	(必須)既定の識別子は、IDP によって開始された SSO の SAML 応答の対象ユーザーになります。この値は、Azure Active Directory テナント内のすべてのアプリケーションで一意である必要があります例: https://amer.sky.junipersecurity.net
応答 URL (アサーションコンシューマーサービス URL)	(必須)既定の応答 URL は、IDP によって開始される SSO の SAML 応答の宛先になります。応答 URL は、アプリケーションが認証トークンを受け取ることを期待する場所です。これは、SAML では "アサーションコンシューマーサービス" (ACS) とも呼ばれます。例: https://amer.sky.junipersecurity.net/portal/sso/acs
サインオン URL	(オプション)この URL には、サービスプロバイダーが開始するシングルサインオンを実行するこのアプリケーションのサインインページが含まれています。ID プロバイダーによって開始された SSO を実行する場合は空白のままにします。
リレー状態	(オプション)リレー状態は、認証の完了後にユーザーをリダイレクトする場所をアプリケーションに指示し、値は通常、ユーザーをアプリケーション内の特定の場所に誘導する URL または URL パスです。この形式の値は、IdP によって開始された SSO フローでのみ有効になります。
ユーザー属性とクレーム ATP に関連付けるアクセスコントロールグループを定義するパラメータ。アクセスコントロールグループは、Juniper ATP ロールにマッピングされます。
一意のユーザー識別子	(オプション)名前 ID を指定します。例: user.userprincipalname [nameid-format:emailAddress]
+新しい請求を追加	Juniper ATP クラウドに発行された SAML トークンを設定するために Azure AD によって使用される要求を定義します。新しい要求を追加するには: [ + 新しい申し立てを追加] をクリックします。 [請求の管理] ページが表示されます。要求名と名前空間を入力します。ソースを選択します。ドロップダウンリストからソース属性を選択します。 (オプション)要求条件を指定します。「保存」をクリックします。表 7 を参照してください。メモ：名と姓の属性はオプションです。ジュニパーATPクラウドSSO SAMLプロバイダー設定では、ユーザー名属性という名前の必須フィールドを設定する必要があります。Juniper ATP クラウドで設定する属性値が何であれ、Azure IdP で同じ属性値を設定する必要があります。設定しないと、SSO は失敗します。たとえば、Juniper ATP Cloud SSO SAML プロバイダー設定の [ユーザー名属性] の値を [メールアドレス] に設定する場合は、Azure IdP で同じ属性名を user.mail という属性値で設定する必要があります。
+ グループ要求を追加する	ジュニパーATPクラウドに発行されたSAMLトークンを設定するためにAzure ADが使用するグループ要求を定義します。新しいグループ要求を追加するには: [ + グループ要求を追加] をクリックします。 [グループ要求] ページが表示されます。ユーザーに関連付けられているグループの場合は、[ すべてのグループ] を選択します。ソース属性を選択します。ソース属性がsAMAccountNameの場合、Juniper ATPクラウドポータルでロールマッピングの属性としてロール名を指定する必要があります。たとえば、ロール: role_administrator ソース属性がグループIDの場合、Juniper ATPクラウドポータルでロールマッピングの属性として参照IDを指定する必要があります。たとえば、ロール: abcdef メモ：ソース属性は、AAD Connect Sync 1.2.70.0 以降を使用してオンプレミスの Active Directory から同期されたグループに対してのみ機能します。ユーザーとグループをプルする Azure Active Directory がない場合は、Azure IdP のソース属性として [グループ ID] を選択し、グループ属性を設定する Juniper ATP Cloud SSO でそれぞれのグループ ID を指定します。 [ グループの名前をカスタマイズする ] チェックボックスをオンにします。名前と名前空間を指定します。たとえば、グループ名が role の場合、Juniper ATP CloudへのSAMLレスポンスでは、グループ名「role」がキーとなり、キーの値がロール名となり、そこでユーザーが追加されます。「保存」をクリックします。グループ要求ロールは、値が user.groups として作成されます。
SAML 署名証明書
ステータス	アプリケーションに発行された SAML トークンに署名するために Azure AD によって使用される SAML 証明書の状態を表示します。
拇印	SAML 証明書の拇印を表示します。
有効期限	SAML 証明書の有効期限を表示します。
通知メール	通知のメールアドレスが表示されます。
アプリフェデレーションメタデータ URL	SAML の Azure IdP メタデータ URL を表示します。例: https://login.microsoftonline.com/ff08d407-69c4-4850-9af0-29034d31ab36/federationmetadata/2007-06/federationmetadata.xml?appid=6915f8ab-640a-4e1c-bb67-5e81a14f7898
証明書(Base64)	(オプション)クリックして Base64 証明書をダウンロードします。
証明書(未加工)	(オプション)クリックして Raw 証明書をダウンロードします。
フェデレーションメタデータ XML	(オプション)クリックすると、フェデレーションメタデータドキュメントがダウンロードされます。
シグネチャーアルゴリタム	SAML アサーションと応答にデジタル署名するために使用する署名アルゴリズムを決定します。 Azure には、RSA-SHA256 および RSA-SHA1 署名アルゴリズムが用意されています。任意のアルゴリズムを設定できます。メモ： RSA-SHA1はまもなく廃止予定であるため、アルゴリズムRSA-SHA256を設定することをお勧めします。
アプリケーションのセットアップ(ジュニパーATPクラウド)
ログインURL	Microsoft AzureのログインURLが表示されます。認証用のログインURLにリダイレクトされます。例: https://login.microsoftonline.com/ff08d407-69c4-4850-9af0-29034d31ab36/saml2
Azure AD 識別子	SAML アサーションの対象ユーザーを表示します。これは、Azure IdP のエンティティ ID (グローバル一意識別子) です。例: https://sts.windows.net/ff08d407-69c4-4850-9af0-29034d31ab36/
ログアウト URL	Microsoft AzureのログアウトURLを表示します。このフィールドは、ジュニパーATPクラウドではまだサポートされていません。

表 7: Azure AD の新しい要求の追加
属性名	ソース属性値	の説明
与えられた名前	ユーザー.与えられた名前	givenname属性は、ATPクラウドでユーザーの姓をマッピングするために使用されます。
姓	ユーザー.姓	姓属性は、ATPクラウドでユーザーの姓をマッピングするために使用されます。
Emailaddress	ユーザー.メール
		emailaddress属性は、ATPクラウドでユーザーのEメールアドレスをマッピングするために使用されます。

ステップ2:ジュニパーATPクラウドWebポータルでSSO設定を構成する

SSO設定の構成を参照してください。

ステップ 3: SSO 構成をアクティブ化する

SSO 設定を有効化するには、Juniper ATP Cloud ポータルにログインし、[ 管理] > [シングルサインオン設定 ] に移動して、[ 有効化] をクリックします。

手順 4: SSO 構成をテストする

サービスプロバイダが開始するSSO(ジュニパーATPクラウド):SSOを使用してジュニパーATPクラウドWebポータルにログインします。IdP SSO で認証する前にジュニパー ATP クラウド Web ポータルにログインした場合、ATP クラウドのレルムに基づいて、認証のために IdP ポータルにリダイレクトされます。IdP で認証すると、Juniper ATP Cloud Web ポータルにログインします。
ID プロバイダー - IdP SSO アカウントにログインすると、IdP と統合されているアプリケーションのリストが提供され、任意のアプリケーションにアクセスできます。たとえば、Juniper ATP Cloudアプリケーションをクリックすると、Juniper ATP Cloudウェブポータルに移動します。

SSO 構成のトラブルシューティング

ジュニパーATPクラウドでSAML 2.0を使用する際のエラーや問題のトラブルシューティングには、以下の情報を使用します。

王国
- SSO 設定はレルムごとに構成されます。ローカル・ユーザーとSAMLユーザーの両方がレルム内に共存できます。デフォルトでは、レルムの作成者 (管理者) はローカル・ユーザーです。
- 構成が正しくないためにSSOが失敗し、SSOユーザーがログインできない場合は、レルムへのローカル・ログイン・アクセス権を持つレルム作成者(管理者)に連絡してください。管理者はATPクラウドカスタマーポータルURLを使用してログインし、レルムのSSO構成を修正できます。

ロールマッピング
- Juniper ATP Cloudには、ユーザープロファイル作成ユースケースの一部として、「管理者」、「オペレーター」、「オブザーバー」の役割が設定されています。
- IdP で ATP ユーザーを認証するには、最終的に ATP ロールにマッピングされる ATP ユーザーを定義するグループが IdP に少なくとも 1 つ必要です。
- ユーザーは、ATP ロールタイプ(「管理者」、「オペレーター」、「オブザーバー」)ごとに IdP グループを作成し、IdP 設定時にロールを適切にマッピングできます。
- ユーザーグループが IdP のマッピングと一致しない場合は、ユーザーにエラーメッセージが表示されます。

多要素認証
- IdP が独自のステップアップ認証機能を提供する場合、SSO ユーザーはステップアップ認証のために SSO サイトにリダイレクトされます。シングルサインオンが有効な場合、Juniper ATPクラウドでのMFA認証は無効になります。
- 同じレルム上のローカル・ユーザーは、ATPの多要素認証を引き続き使用できます。

パスワード
- パスワードを忘れた SSO ユーザーは、IdP サイトにログインしてパスワードをリセットする必要があります。ユーザーがレルム名を指定してSSOを試みた場合、ATPクラウドポータルは、認証のためにユーザーをIdPサイトにリダイレクトします。IdP サイトでユーザー認証に失敗した場合。その後、ユーザーは IdP サイトからパスワードをリセットする必要があります。
- ジュニパーATPクラウドポータルの[パスワードを忘れた場合]オプションは、SSO が構成されていないレルム用です。

このページの目次

SAML 2.0 ID プロバイダーを使用したシングルサインオンの設定

利点