SAML 2.0 ID プロバイダを使用したシングルサインオンの設定
シングルサインオン(SSO)は、1組のログイン資格情報で複数のアプリケーションやWebサイトに安全にログインできる認証方法です。
Security Assertion Markup Language(SAML)は、サービス プロバイダとプロバイダーの(IdP)間の認証と許可のためのフレームワークです。ここでは、デジタル署名された XML ドキュメントを使用して認証が交換されます。サービスプロバイダーは、IdP を信頼してユーザーを認証することに同意します。その見返りとして、IdP はユーザーが認証されていることを示す認証アサーションを生成します。
利点
-
SAML認証により、Juniper ATP Cloudを企業IdPと簡単に統合してSSOを提供することができます。IdPに対して認証されると、Juniper ATP Cloudに対しても自動的に認証されます。Juniper ATP Cloudポータルにアクセスするたびに、個別のパスワードを覚えたり、認証情報を入力したりする必要はありません。
-
SAMLプロトコルは、サービスプロバイダが開始するSSOでのみサポートされます。Juniper ATP Cloudは、サービスプロバイダとしてSAML 2.0 Web SSOプロファイルと互換性があります。
ステップ1:IdPでSSO設定を構成する
例:OktaをIdPとしてSSOを構成する
このセクションでは、OktaをIdPとして使用してSSOを構成する手順について説明します。
-
このセクションで提供される情報は、Oktaによる現在のSAML実装を使用したSSOに基づいており、変更される可能性があります。詳細については、「 Oktaのドキュメント」を参照してください。
- Oktaのアカウントをすでに持っている必要があります。
- 次の操作を行うには、管理者としてログインする必要があります。
- Oktaポータルにログインします。
- 「アプリケーション」に移動し、「 アプリケーション」>「アプリ統合の作成」をクリックします。
- 「サインイン方法」セクションで、「 SAML 2.0 」を選択し、「 次へ」をクリックします。
- アプリケーション名、アプリケーションのロゴ、アプリケーションの可視性など、アプリケーションの [全般] 設定を入力します。「 次へ」をクリックします。
- SAML 設定を構成します。ガイドラインについては、 表 1 を参照してください。
- 「 次へ」をクリックします。
- お客様かパートナー企業かを選択してください。「 終了」をクリックします。
これで、アプリケーションがOktaに追加されました。「 サインオン 」タブをクリックします。Okta IdPメタデータファイルをダウンロードできます。このメタデータファイルを使用して、Okta IdP SSO設定をJuniper ATP Cloudに動的にインポートできます。
- [Directory > Groups] > [Add Group] に移動し、グループを追加します。役割ごとに個別のグループを作成します。たとえば、role_administrator、role_operator、role_observerなどです。
グループ名は重要です。グループ名は、Juniper ATP Cloud Portalでユーザーロールのマッピングに使用するため、書き留めておきます。表 4 を参照してください。
. - グループ名をクリックし、ユーザーとアプリケーションをグループに追加します。
- 「 ユーザーの管理 」をクリックし、リストからユーザーを選択します。これで、ユーザーが [メンバーではない ] リストから [メンバー ] リストに追加されます。
- 「 保存」をクリックします。これで、ユーザーがグループに割り当てられました。
| 畑 |
形容 |
|---|---|
| 般設定 |
|
| シングルサインオン URL |
SAML アサーションが HTTP POST で送信される場所。これは、多くの場合、アプリケーションの SAML アサーション コンシューマー サービス (ACS) URL と呼ばれます。 |
| オーディエンス URI(SP エンティティ ID) |
SAML アサーションの対象ユーザーであるアプリケーション定義の一意の意の。これはJuniper ATP CloudのSPエンティティID(グローバルに一意な意の識別子)です。 |
| デフォルトのリレー状態 |
(オプション)IdP が開始するシングルサインオンシナリオで特定のアプリケーションリソースを識別します。ほとんどの場合、このフィールドは空白です。 Juniper ATP Cloudは、IdPが開始するSSOをサポートしていません。このフィールドは空白のままにしておくことをお勧めします。 |
| 名前 ID の形式 |
アサーションのサブジェクト ステートメントの SAML 処理ルールおよび制約を識別します。リストから名前 ID の形式を選択します。アプリケーションが特定の形式を明示的に必要としない限り、既定値の 'Unspecified' を使用します。 このフィールドはJuniper ATP Cloud Webポータルでは使用されないため、デフォルト値のまま使用します。 |
| アプリケーション ユーザー名 |
ユーザーのアプリケーション・ユーザー名のデフォルト値を決定します。アプリケーション ユーザー名は、アサーションのサブジェクト ステートメントに使用されます。リストからアプリケーションのユーザー名を選択します。 このフィールドはJuniper ATP Cloudでは使用されないため、デフォルト値のまま使用します。 |
| 高度な設定 |
|
| 応答 |
SAML 認証応答メッセージが IDP によってデジタル署名されているかどうかを判断します。IdP によって交換される情報の絶対的なプライバシーを保証するには、デジタル署名が必要です。 このフィールドを [署名済み] に設定する必要があります。 |
| アサーション シグネチャ |
SAML アサーションがデジタル署名されているかどうかを判別します。IDP のみがアサーションを生成したことを確認するには、デジタル署名が必要です。 このフィールドを [署名済み] に設定する必要があります。 |
| シグネチャアルゴリズム |
SAML アサーションとレスポンスのデジタル署名に使用する署名アルゴリズムを決定します。 Oktaは、RSA-SHA256およびRSA-SHA1署名アルゴリズムを提供します。どのアルゴリズムでも設定できます。
手記:
RSA-SHA1 はまもなく廃止されるため、アルゴリズム RSA-SHA256 を設定することをお勧めします。 |
| ダイジェストアルゴリズム |
SAML アサーションとレスポンスのデジタル署名に使用するダイジェスト アルゴリズムを決定します。 Oktaは、SHA256およびSHA1ダイジェストアルゴリズムを提供します。どのアルゴリズムでも設定できます。 |
| アサーション暗号化 |
SAML アサーションが暗号化されているかどうかを判別します。暗号化により、送信者と受信者以外はアサーションを理解できません。 Juniper ATP Cloud ATP SSO 設定で SAML 応答の暗号化 を有効にする場合にのみ、このフィールドを暗号化に設定する必要があります。 |
| シングル ログアウトを有効にする |
SAMLシングルログアウトを有効にします。 このフィールドはJuniper ATP Cloudでは使用されないため、デフォルト値のまま使用します。 |
| アサーションインラインフック |
このフィールドは無効です。 このフィールドはJuniper ATP Cloudでは使用されないため、デフォルト値のまま使用します。 |
| 認証コンテキスト クラス |
アサーションの認証ステートメントのSAML認証コンテキストクラスを識別します このフィールドはJuniper ATP Cloudでは使用されないため、デフォルト値のまま使用します。 |
| Honor Force Authentication |
サービス プロバイダーから要求された場合は、ユーザーに再認証を求めるプロンプトを表示します。 このフィールドはJuniper ATP Cloudでは使用されないため、デフォルト値のまま使用します。 |
| SAML 発行者 ID |
SAML IdP 発行者 ID このフィールドはJuniper ATP Cloudでは使用されないため、デフォルト値のまま使用します。 |
| 属性ステートメント |
新しいSAML統合を作成する場合、または既存のSAML統合を変更する場合は、カスタム属性ステートメントを定義できます。これらのステートメントは、Juniper ATP Cloudと共有されるSAMLアサーションに挿入されます。
属性ステートメントのサンプルは、 表2に示されています。 |
| グループ属性ステートメント(オプション) |
Okta orgがグループを使用してユーザーを分類する場合は、アプリケーションで共有されるSAMLアサーションにグループ属性ステートメントを追加できます。 ユーザーのグループは、SAML応答の属性ステートメントにマップされます。グループ属性は、どのユーザーがどのグループに属しているかを識別するのに役立ちます。
role_administrtor、role_observer、およびrole_operatorのグループ属性を作成し、グループにユーザーを追加することができます。 表 3 には、グループ属性ステートメントのサンプルがあります。 |
| SAML アサーションのプレビュー |
クリックすると、アサーションで使用される Xml ファイルが表示されます。 |
| 名前 | 名前 形式 | 値 |
|---|---|---|
| 名(名) | 未指定 | user.lastName (ユーザー名) |
| 姓 | 未指定 | user.lastName (ユーザー名) |
| 電子メール | 未指定 | user.email |
firstname 属性と lastname 属性は省略可能です。[Juniper ATP Cloud SSO SAMLプロバイダ設定]で、[ ユーザー名属性]という名前の必須フィールドを設定する必要があります。Juniper ATP Cloudで設定する予定の属性値が何であれ、Okta IdPでも同じ属性値を設定する必要があります。設定しないとSSOが失敗します。
たとえば、[Juniper ATP Cloud SSO SAMLプロバイダー設定]の [ユーザー名属性 ]の値を [user.email]に設定する場合は、Okta IdPで同じ属性を属性値 user.email として設定する必要があります。
| 名前 |
名前の形式 |
フィルター |
|
|---|---|---|---|
| 役割 |
未指定 |
含む |
役割 |
| Oktaでの役割マッピング | Juniper ATP Cloudポータルでの役割マッピング |
|---|---|
| role_administrator |
Juniper ATP Cloud ポータルで SSO 設定を構成するときに [管理者] フィールドを [role_administrator] に設定します。 |
| role_operator |
Juniper ATP Cloud ポータルで SSO 設定を構成するときに [演算子] フィールドを [role_operator] に設定します。 |
| role_observer |
Juniper ATP Cloud ポータルで SSO 設定を構成するときに [オブザーバー] フィールドを [role_observer] に設定します。 |
例: Microsoft Azure を IdP として SSO を構成する
このセクションでは、Microsoft Azure を IdP として SSO を構成する手順について説明します。
-
このセクションで提供される情報は、Microsoft Azure による現在の SAML 実装を使用した SSO に基づいており、変更される可能性があります。詳細については、 Microsoft Azure のドキュメントを参照してください。
- Microsoft Azure のアカウントを既に持っている必要があります。
- 次の操作を行うには、管理者としてログインする必要があります。
- Azure portal にログインします。
- [ Azure Active Directory] > [エンタープライズ アプリケーション] をクリックします。
- [ + 新しいアプリケーション] > [+ 独自のアプリケーションの作成] をクリックします。
- アプリケーション名を入力し、「 作成」をクリックします。
新しいアプリケーションが [すべてのアプリケーション] ページに一覧表示されます。
- アプリケーション名をクリックします。
- [ ユーザーとグループの割り当て] > [ユーザー/グループの追加] をクリックします。
[割り当ての追加] ページが表示されます。
- [ 選択なし] をクリックします。「 ユーザーとグループ 」リストからユーザーとグループを選択し 、「選択」をクリックします。
手記:
グループをアプリケーションに割り当てると、グループ内の直接のユーザーのみがアクセスできます。割り当ては、入れ子になったグループにはカスケードされません。
- [割り当て] をクリックします。サンプルのユーザーおよびグループについては、表 5 を参照してください
- [Manage > Single Sign-On > SAML (シングルサインオン SAML の管理)] に移動します。 表 6 のガイドラインに従って設定を行います。
- [ テスト ] をクリックして、SSO が機能しているかどうかを確認します。
手記:
サインインする前に、ユーザーを [ユーザーとグループ] に追加する必要があります。
- [証明書の インポート] > [Security > Token encryption ] に移動し、暗号化証明書をアップロードします。IdP 管理者は、トークンの暗号化を有効にするために、証明書を生成してアップロードする必要があります
| 表示名 | オブジェクト タイプ | ロールの割り当て |
|---|---|---|
| role_administrator |
群 |
利用者 |
| role_observer |
群 |
利用者 |
| role_operator |
群 |
利用者 |
| 畑 |
形容 |
|---|---|
| SAML の基本設定 |
|
| 識別子 (エンティティ ID) |
(必須)デフォルトの識別子は、IDPが開始するSSOのSAML 応答の対象者になります。この値は、Azure Active Directory テナント内のすべてのアプリケーションで一意である必要があります |
| 応答 URL (アサーション コンシューマ サービス URL) |
(必須)デフォルトの返信URLは、IDPが開始するSSOのSAML 応答の宛先になります。応答 URL は、アプリケーションが認証トークンを受け取ることを想定する場所です。これは、SAML では "アサーション コンシューマー サービス" (ACS) とも呼ばれます。 |
| サインオン URL |
(オプション)この URL には、サービス プロバイダーによって開始される SSO を実行するこのアプリケーションのサインイン ページが含まれています。IdP によって開始される SSO を実行する場合は、空白のままにします。 |
| リレー状態 |
(オプション)リレー状態は、認証の完了後にユーザーをリダイレクトする場所をアプリケーションに指示し、値は通常、アプリケーション内の特定の場所にユーザーを連れて行く URL または URL パスです。このフォームの値は、IdP が開始する SSO フローでのみ有効になります。 Juniper ATP Cloudは、IdPが開始するSSOをサポートしていません。このフィールドは空白のままにしておくことをお勧めします。 |
| ユーザー属性と要求 ATP に関連付けるアクセス制御グループを定義するパラメータ。アクセス制御グループは、Juniper ATP の役割にマッピングされます。 |
|
| 一意のユーザー識別子 |
(オプション)名前 ID を指定します。 例: user.userprincipalname [nameid-format:emailAddress] |
| +新しい請求を追加 |
Juniper ATP Cloud に発行された SAML トークンを設定するために Azure AD によって使用される要求を定義します。 新しい要求を追加するには、次のようにします。
表 7 を参照してください。
手記:
givenname 属性と surname 属性は省略可能です。[Juniper ATP Cloud SSO SAMLプロバイダ設定]で、[ ユーザー名属性]という名前の必須フィールドを設定する必要があります。Juniper ATP Cloudで設定する予定の属性値が何であれ、Azure IdPでも同じ属性値を設定しないとSSOが失敗します。 たとえば、Juniper ATP Cloud SSO SAMLプロバイダ設定のユーザー名 属性 値を emailaddressに設定する場合は、属性値を user.mailと同じ属性名でAzure IdPに設定する必要があります。 |
| + グループ要求を追加する |
Juniper ATP Cloud に発行された SAML トークンを設定するために Azure AD によって使用されるグループ要求を定義します。 新しいグループ要求を追加するには、次のようにします。
|
| SAML 署名証明書 |
|
| 地位 |
アプリケーションに対して発行された SAML トークンに署名するために Azure AD によって使用される SAML 証明書の状態が表示されます。 |
| 拇印 |
SAML 証明書の拇印を表示します。 |
| 満了 |
SAML証明書の有効期限を表示します。 |
| 通知メール |
通知用の電子メール アドレスが表示されます。 |
| アプリ フェデレーション メタデータ URL |
SAML の Azure IdPメタデータ URL を表示します。 |
| 証明書 (Base64) |
(オプション)Base64 証明書をダウンロードするには、クリックしてください。 |
| 証明書(未加工) |
(オプション)クリックすると、未加工の証明書がダウンロードされます。 |
| フェデレーション メタデータ XML |
(オプション)クリックすると、フェデレーション メタデータ ドキュメントがダウンロードされます。 |
| シグネチャアルゴリズム | SAML アサーションとレスポンスのデジタル署名に使用する署名アルゴリズムを決定します。 Azure には、RSA-SHA256 と RSA-SHA1 の署名アルゴリズムが用意されています。どのアルゴリズムでも設定できます。
手記:
RSA-SHA1 はまもなく廃止されるため、アルゴリズム RSA-SHA256 を設定することをお勧めします。 |
| アプリケーションのセットアップ(Juniper ATP Cloud) |
|
| ログイン URL |
Microsoft Azure のログイン URL を表示します。認証用のログインURLにリダイレクトされます。 例: https://login.microsoftonline.com/ff08d407-69c4-4850-9af0-29034d31ab36/saml2 |
| Azure AD 識別子 |
SAML アサーションの対象ユーザーを表示します。これは、Azure IdP のエンティティ ID (グローバルに一意な意の) です。 例: https://sts.windows.net/ff08d407-69c4-4850-9af0-29034d31ab36/ |
| ログアウト URL |
Microsoft Azure のログアウト URL を表示します このフィールドは、Juniper ATP Cloudではまだサポートされていません。 |
| 属性名 | ソース属性値 | 説明 |
|---|---|---|
| givenname (givenname) | user.givenname (英語) | givenname 属性は、ATP Cloud でユーザーの姓をマッピングするために使用されます。 |
| 名字 | user.surname (ユーザー名) | surname 属性は、ATP Cloud でユーザーの姓をマッピングするために使用されます。 |
| Eメールアドレス | user.mail (英語) | |
| emailaddress 属性は、ATP Cloud でユーザーのメールアドレスをマッピングするために使用されます。 |
ステップ2:Juniper ATP Cloud WebポータルでSSO設定を構成する
「 SSO設定の構成」を参照してください。
ステップ3:SSO設定を有効にする
SSO設定を有効にするには、Juniper ATP Cloudポータルにログインし、[ ]に移動して 、[アクティブ化]をクリックします。
ステップ4:SSO設定をテストする
サービスプロバイダが開始するSSO(Juniper ATP Cloud)—SSOを使用してJuniper ATP Cloud Webポータルにログインします。IdP SSOで認証する前にJuniper ATP Cloud Webポータルにログインすると、ATP Cloudレルムに基づいて、認証のためにIdPポータルにリダイレクトされます。IdP による認証後、Juniper ATP Cloud Web ポータルにログインします。
-
ID プロバイダー - IdP SSO アカウントにログインすると、IdP と統合されているアプリケーションのリストが表示され、任意のアプリケーションにアクセスできます。例えば、Juniper ATP Cloudアプリケーションをクリックすると、Juniper ATP CloudのWebポータルに移動します。
SSO設定のトラブルシューティング
Juniper ATP CloudでSAML 2.0を使用する際のエラーと問題のトラブルシューティングには、以下の情報を使用してください。
- 国土
-
SSO 設定はレルムごとに構成されます。ローカル・ユーザーと SAML ユーザーの両方がレルム内で共存できます。デフォルトでは、レルムの作成者 (管理者) はローカル・ユーザーです。
-
構成が正しくないためにSSOが失敗し、SSOユーザーがログインできない場合は、レルムへのローカル・ログイン・アクセス権を持つレルムの作成者(管理者)に連絡してください。管理者は、ATP CloudカスタマーポータルURLを使用してログインし、レルムのSSO設定を修正できます。
-
- ロールマッピング
-
Juniper ATP Cloudでは、ユーザープロファイル作成ユースケースの一部として、「管理者」、「オペレーター」、「オブザーバー」のロールが設定されています。
-
IdP で ATP ユーザーを認証するには、ATP ユーザーを定義するグループが IdP に少なくとも 1 つ必要です。このグループは最終的に ATP ロールにマッピングされます。
-
ユーザーは、ATP ロール タイプ(「admin」、「operator」、「observer」)ごとに IdP グループを作成し、IdP 設定時にロールを適切にマッピングできます。
-
ユーザーグループが IdP のマッピングと一致しない場合は、エラーメッセージがユーザーに表示されます。
-
- 多要素認証
-
IdP が独自のステップアップ認証機能を提供する場合、SSO ユーザーはステップアップ認証のために SSO サイトにリダイレクトされます。シングルサインオンが有効になっている場合、Juniper ATP Cloudでの多要素認証は無効になります。
-
同じレルム上のローカルユーザーは、ATPの多要素認証(MFA)を引き続き使用できます。
-
- パスワード
-
パスワードを忘れたSSOユーザーは、IdPサイトにログインしてパスワードをリセットする必要があります。ユーザーがレルム名を指定してSSOしようとすると、ATP Cloudポータルは認証のためにユーザーをIdPサイトにリダイレクトします。IdP サイトでユーザー認証に失敗した場合。その後、ユーザーは IdP サイトからパスワードをリセットする必要があります。
-
Juniper ATP Cloudポータルの[パスワードを忘れた場合]オプションは、SSOが設定されていないレルム用です。
-