Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

シングルサインオンの設定

シングルサインオン(SSO)の設定、有効化、または無効化は、シングルサインオン設定ページで行うことができます。

このページにアクセスするには、 管理 > シングルサインオンをクリックします。

このSSO設定コンポーネントは以下のとおりです。

  • IDプロバイダ(IdP)—OktaやMicrosoft Azureなど、ユーザーのIDと認証を管理する外部サーバー。
  • サービスプロバイダ—ジュニパーATPクラウドは、ログインリクエストに応答してIdPから送信されたSAMLアサーションを受信して検証するサービスプロバイダとして機能します。

IdPとサービスプロバイダは、相互信頼を確立し、設定の詳細を共有して、安全なSSO認証を可能にします。

始める前に:

組織ごとに SSO 設定を構成する必要があります。

ジュニパー ATP クラウドと IdP の両方で同じユーザーまたはメールアドレスを設定しないでください。ユーザーアカウントが重複すると、SSO認証の失敗や予期しないログイン動作が発生する可能性があります。

SSO設定を構成するには:

  1. 管理>シングルサインオンを選択します。
  2. 以下のガイドラインに従って設定を完了します。
    表1:SSO設定

    フィールド

    説明

    サービスプロバイダの設定

    表示名

    SSO設定の表示名を入力します。

    エンティティID

    ジュニパー ATP クラウドカスタマーポータルの一意の識別子を入力します。

    ユーザー名属性

    SAMLのユーザー名属性を入力します。ユーザー名属性は必須であり、電子メールアドレスの形式である必要があります。ユーザー名属性は、SAMLアサーション応答でIdPによって提供されるユーザーデータにマッピングされます。

    認証リクエストに署名

    トグルボタンを有効にすると、ジュニパーATPクラウドからIdPに送信されたSAML認証リクエストに署名できます。

    署名認証要求を有効にする場合は、プライベートキーとパブリックキー両方の証明書を提供する必要があります。

    SAML応答を暗号化

    トグルボタンを有効にすると、IdPから返されるSAMLアサーションが暗号化されることを指定します。

    暗号化SAML応答が有効になっている場合は、プライベートキーとパブリックキー両方の証明書を提供する必要があります。

    ジュニパー ATP クラウドで SAML 応答暗号化が有効になっていても、IdP が SAML 応答を暗号化しない場合、SAML 認証は失敗します。

    プライベートキー

    プライベートキーを入力します。プライベートキーは、ユーザーがローカルに生成します。ジュニパー ATP クラウドでは、プライベート キーが SAML 認証リクエストに署名するために使用されます。プライベートキーはIdPと共有されません。

    公開キー証明書

    公開キー証明書を入力します。公開キー証明書は、ユーザーがローカルに生成します。IdPポータルに同じ公開キー証明書をアップロードする必要があります。IdPでは、公開キー証明書を使用して、ジュニパーATPクラウドから送信されたSAML認証リクエストを検証します。
    ロールオプション [ デフォルトのロールを使用 ] または [IdP 固有のロールを入力] を選択します。

    デフォルトロールを使用

    デフォルトロール

    組織内のSAMLユーザーのデフォルトロールを選択します。ロールマッピングセクションにロールを入力していない場合は、組織のデフォルトロールを指定する必要があります。リストからデフォルトのロールを選択します。

    • システム管理者—完全な権限

    • オペレーター—完全な権限があるが、ユーザーを作成することはできない

    • オブザーバー—読み取り専用権限

    • なし—デフォルトのロールなし

    SSOページにログインするには、ロール属性またはデフォルトロールのいずれかを設定する必要があります。

    SAMLユーザーのファーストネーム属性を入力します。名属性は、ユーザープロファイルの作成に使用されます。名を指定しない場合、電子メールアドレスの一部がユーザープロファイルを作成する名として使用されます。

    SAMLユーザーの姓の属性を入力します。姓属性は、ユーザープロファイルの作成に使用されます。姓を指定しない場合、電子メールアドレスの一部がユーザープロファイルを作成するための姓として使用されます。

    IdP固有のロールを入力

    グループ属性

    (オプション)IdPで設定されているグループ属性を入力します。

    例:ロール

    管理者

    (オプション)ジュニパーATPクラウド管理者ロールにマッピングする必要があるIdP固有のロールを入力します。

    例:role_admin

    オペレーター

    (オプション)ジュニパー ATP クラウド事業者ロールにマッピングする必要があるIdP固有のロールを入力します。

    例:role_運用担当者

    オブザーバー

    (オプション)ジュニパーATPクラウドオブザーバーロールにマッピングする必要があるIdP固有のロールを入力します。

    例:role_observer

    SAMLユーザーのファーストネーム属性を入力します。名属性は、ユーザープロファイルの作成に使用されます。名を指定しない場合、電子メールアドレスの一部がユーザープロファイルを作成する名として使用されます。

    SAMLユーザーの姓の属性を入力します。姓属性は、ユーザープロファイルの作成に使用されます。姓を指定しない場合、電子メールアドレスの一部がユーザープロファイルを作成するための姓として使用されます。

    SPメタデータをエクスポート

    SP メタデータをエクスポートをクリックして 、サービスプロバイダのメタデータをXML形式でダウンロードします。管理者は、サービスプロバイダのメタデータをダウンロードして使用し、IdPポータルのすべてのサービスプロバイダ設定を一度に動的に設定することができます。管理者は、個々のサービスプロバイダ設定を手動で構成する必要はありません。

    IDプロバイダーの設定

    IdP設定

    設定 をインポートを選択して 、IdPメタデータを一度インポートします。IdP設定を手動で構成するには、設定 を手動で入力を選択します。

    インポート

    XML形式のIdPメタデータを選択し、インポートをクリックします。

    エンティティID

    		 IdPの一意の識別子を入力します。IdPメタデータをインポートすると、情報が自動的に更新されます。

    ログインURL

    IdPでのユーザー認証用のリダイレクトURLを入力します。IdPメタデータをインポートすると、情報が自動的に更新されます。

    IdP証明書

    IDP証明書を入力して、SAML応答を復号化します。IdPメタデータをインポートすると、情報が自動的に更新されます。
  3. 「保存」をクリックします。
    SSO設定が保存されます。

サービスプロバイダ設定とIdP設定の両方を構成した後、SSOをアクティブにできます。SSOをアクティブにするには、 アクティブ化をクリックします。既存の SSO を非アクティブ化するには、 非アクティブ化をクリックします。

関連ドキュメント