シングルサインオンの設定
このページにアクセスするには、「 」をクリックします。シングルサインオン(SSO)は、「シングルサインオン設定」ページから設定、有効化、または無効化できます。
SSO設定時に関与するエンティティは次のとおりです。
- ID プロバイダー(IdP):ユーザー ID の管理を処理する外部サーバー。たとえば、OktaやMicrosoft Azureなどです。
- サービスプロバイダ—Juniper ATP Cloudは、ログイン要求に応じてIdPから送信されたSAMLアサーションを受信するサービスプロバイダとして機能します。
IdPとサービスプロバイダはお互いを信頼し、設定を共有します。
-
「SAML 2.0 アイデンティティ・プロバイダを使用したシングル・サインオンの設定」を参照してください。
- IdP が SSO SAML 設定ですでに構成されていることを確認します。
組織ごとに SSO 設定を構成する必要があります。
SSO設定を構成するには:
- [管理] > [シングル サインオン] を選択します。
- 表 1 のガイドラインを使用して、構成を完了します。
- 「保存」をクリックします。
サービスプロバイダー設定とIdP設定を構成した後、SSOをアクティブ化できます。SSOを有効にするには、[ アクティブ化]をクリックします。
既存のSSOを無効にするには、[ 非アクティブ化]をクリックします。
| 畑 |
形容 |
|---|---|
| サービスプロバイダ設定 |
|
| 表示名 |
SSO 設定の表示名を入力します。 |
| エンティティ ID |
Juniper ATP Cloudカスタマーポータルの意のIDを入力します。 |
| ユーザー名属性 |
SAML のユーザー名属性を入力します。ユーザー名属性は必須で、電子メールアドレス形式である必要があります。ユーザー名属性は、SAML アサーション応答で IdP によって提供されるユーザー データにマップされます。 |
| 認証要求に署名する |
Juniper ATP CloudからIdPに送信されるSAML認証リクエストに署名するには、クリックしを有効にします。 署名認証リクエストを有効にする場合は、秘密鍵と公開鍵の両方の証明書を提供する必要があります。 |
| SAML 応答の暗号化 |
クリックしを有効にして、IdP によって返される SAML アサーションが暗号化されることを指定します。 SAML 応答の暗号化が有効になっている場合は、秘密鍵と公開鍵証明書の両方を提供する必要があります。
手記:
カスタマーポータルでSAML 応答の暗号化を有効にしているがJuniper ATP Cloud IdPからのSAML応答が暗号化されていない場合、SAML認証は拒否されます。 |
| 秘密キー |
秘密キーを入力します。秘密キーは、ユーザーによってローカルで生成されます。Juniper ATP Cloudでは、SAML認証リクエストの署名にプライベートキーが使用されます。秘密鍵は IdP と共有されません。 |
| 公開鍵証明書 |
公開鍵証明書を入力します。公開鍵証明書は、ユーザーによってローカルで生成されます。IdP ポータルに同じ公開キー証明書をアップロードする必要があります。IdPでは、公開鍵証明書を使用して、Juniper ATP Cloudから送信されたSAML認証リクエストを検証します。 |
| 役割のオプション | [ Use default role (デフォルトのロールを使用 )] または [ IdP 固有のロールを入力] を選択します。 |
| 既定のロールを使用 |
|
| デフォルトロール |
組織内の SAML ユーザーの既定のロールを選択します。[ロール マッピング] セクションにロールを入力していない場合は、組織の既定のロールを指定する必要があります。リストからデフォルトのロールを選択します。
手記:
SSOページにログインするには、ロール属性またはデフォルトロールを設定する必要があります。 |
| 名 |
SAML ユーザーの名属性を入力します。名属性は、ユーザー・プロファイルの作成に使用されます。名を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための名として使用されます。 |
| 名字 |
SAML ユーザーの姓の属性を入力します。姓属性は、ユーザープロファイルの作成に使用されます。姓を指定しない場合は、電子メールアドレスの一部がユーザープロファイルを作成するための姓として使用されます。 |
| IdP 固有のロールを入力してください |
|
| グループ属性 |
(オプション)IdP で設定されたグループ属性を入力します。 例: ロール |
| 管理者 |
(オプション)Juniper ATP Cloud管理者ロールにマッピングする必要があるIdP固有のロールを入力します。 例: role_admin |
| 演算子 |
(オプション)Juniper ATP Cloudオペレーターロールにマッピングする必要があるIdP固有のロールを入力します。 例: role_operator |
| オブザーバー |
(オプション)Juniper ATP Cloudのオブザーバーロールにマッピングする必要があるIdP固有のロールを入力します。 例: role_observer |
| 名 |
SAML ユーザーの名属性を入力します。名属性は、ユーザー・プロファイルの作成に使用されます。名を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための名として使用されます。 |
| 名字 |
SAML ユーザーの姓の属性を入力します。姓属性は、ユーザープロファイルの作成に使用されます。姓を指定しない場合は、電子メールアドレスの一部がユーザープロファイルを作成するための姓として使用されます。 |
| SPメタデータのエクスポート |
「 SP メタデータのエクスポート 」をクリックして、サービスプロバイダのメタデータを XML形式でダウンロードします。管理者は、サービス プロバイダーのメタデータをダウンロードして使用し、IdP ポータルのすべてのサービス プロバイダー設定を一度に動的に構成できます。管理者は、個々のサービス プロバイダー設定を手動で構成する必要はありません。 |
| アイデンティティプロバイダ設定 |
|
| IdP 設定 |
[ 設定のインポート ] を選択して、IdPメタデータを一度にインポートします。IdP 設定を手動で構成するには、 [ 設定を手動で入力する] を選択します。 |
| 輸入 |
XML形式の IdPメタデータを選択し、「インポート」をクリックします。 |
| エンティティ ID |
IdP の意の ID を入力します。IdPメタデータをインポートすると、情報は自動的に更新されます。 |
| ログイン URL |
IdP でユーザー認証用のリダイレクト URL を入力します。IdPメタデータをインポートすると、情報は自動的に更新されます。 |
| IdP証明書 |
IdP証明書を入力して、SAML 応答を復号します。IdPメタデータをインポートすると、情報は自動的に更新されます。 |