Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSO 設定を構成する

このページにアクセスするには、[ 管理 ] > [シングル サインオン] をクリックします。[シングル サインオンの構成] ページから、シングル サインオン (SSO) を構成、アクティブ化、または非アクティブ化できます。

SSO の構成中に関係するエンティティは次のとおりです。

  • ID プロバイダー(IdP)— ユーザー ID の管理を処理する外部サーバー。たとえば、OktaやMicrosoft Azureなどです。
  • サービスプロバイダ(SP)—ジュニパーATPクラウドは、ログインリクエストに応答してIdPから送信されたSAMLアサーションを受信するSPとして機能します。

IdP と SP の両方が相互を信頼し、設定を共有します。

始める前に:
メモ:

領域ごとに SSO 設定を構成する必要があります。

SSO 設定を構成するには:

  1. [管理] > [シングル サインオン] の順に選択します。
  2. 表 1 のガイドラインを使用して、構成を完了します。
  3. 保存」をクリックします。

SP 設定と IdP 設定を構成した後、SSO をアクティブ化できます。SSO をアクティブ化するには、[ アクティブ化] をクリックします。

既存の SSO を非アクティブ化するには、[ 非アクティブ化] をクリックします。

表 1: SSO 設定

フィールド

説明

サービスプロバイダーの設定

表示名

SSO 設定の表示名を入力します。

エンティティ ID

ジュニパーATPクラウドカスタマーポータルの一意の識別子を入力します。

ユーザー名属性

SAML のユーザー名属性を入力します。ユーザー名属性は必須で、電子メール アドレス形式である必要があります。ユーザー名属性は、SAML アサーション応答で IdP によって提供されるユーザーデータにマップされます。

認証要求に署名する

切り替えボタンを有効にして、Juniper ATP クラウドから IdP に送信される SAML 認証要求に署名します。

署名認証要求を有効にする場合は、秘密キーと公開キー証明書の両方を指定する必要があります。

SAML 応答の暗号化

トグルボタンを有効にして、IdP から返される SAML アサーションが暗号化されるように指定します。

SAML 応答の暗号化を有効にしている場合は、秘密キーと公開キー証明書の両方を指定する必要があります。

メモ:

Juniper ATP CloudカスタマーポータルでSAMLレスポンスの暗号化を有効にしているにもかかわらず、IdPからのSAMLレスポンスが暗号化されていない場合、SAML認証は拒否されます。

秘密鍵

秘密キーを入力します。秘密キーは、ユーザーによってローカルに生成されます。ジュニパーATPクラウドでは、SAML認証リクエストの署名にプライベートキーを使用します。秘密キーは IdP と共有されません。

公開鍵証明書

公開鍵証明書を入力します。公開キー証明書は、ユーザーによってローカルに生成されます。IdP ポータルで同じ公開キー証明書をアップロードする必要があります。IdP では、公開鍵証明書は、Juniper ATP クラウドから送信された SAML 認証要求を検証するために使用されます。

ロールのオプション [デフォルトのロールを使用] または [IdP 固有のロールを入力] を選択します。

デフォルトロール

デフォルトロール

レルム内の SAML ユーザーのデフォルト・ロールを選択します。「ロール・マッピング」セクションでロールを入力していない場合は、レルムのデフォルト・ロールを指定する必要があります。リストからデフォルトのロールを選択します。

  • システム管理者-完全な権限
  • オペレーター - フル権限ですが、ユーザーを作成できません
  • オブザーバー - 読み取り専用権限
  • なし-デフォルトロールなし
メモ:

SSO ページにログインするには、ロール属性またはデフォルトロールを設定する必要があります。

お名前(名)

SAML ユーザーの名属性を入力します。名 属性は、ユーザー・プロファイルの作成に使用されます。名を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための名として使用されます。

お名前(姓)

SAML ユーザーの姓属性を入力します。姓属性は、ユーザー・プロファイルの作成に使用されます。姓を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための姓として使用されます。

IdP 固有のロール

グループ属性

(オプション)IdP で設定されているグループ属性を入力します。

例: ロール

管理者

(オプション)Juniper ATP クラウド管理者ロールにマッピングする必要がある IdP 固有のロールを入力します。

例: role_admin

演算子

(オプション)Juniper ATP クラウドオペレーターロールにマッピングする必要がある IdP 固有のロールを入力します。

例: role_operator

オブザーバー

(オプション)Juniper ATP クラウドオブザーバーロールにマッピングする必要がある IdP 固有のロールを入力します。

例: role_observer

お名前(姓)

SAML ユーザーの姓属性を入力します。姓属性は、ユーザー・プロファイルの作成に使用されます。姓を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための姓として使用されます。

お名前(名)

SAML ユーザーの名属性を入力します。名 属性は、ユーザー・プロファイルの作成に使用されます。名を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための名として使用されます。

SPメタデータのエクスポート

クリックすると、SP メタデータが XML 形式でダウンロードされます。管理者は、SP メタデータをダウンロードして使用し、IdP ポータルのすべての SP 設定を一度に動的に構成できます。管理者は、個々のSP設定を手動で構成する必要はありません。

アイデンティティプロバイダの設定

IdP 設定

[ 設定のインポート ] を選択して、IdP メタデータを一度にインポートします。IdP 設定を手動で構成するには、[ 設定を手動で入力] を選択します。

インポート

XML 形式の IdP メタデータを選択し、[インポート] をクリックします。

エンティティ ID

IdP の一意の識別子を入力します。IdP メタデータをインポートすると、情報が自動的に更新されます。

ログインURL

IdP でユーザー認証用のリダイレクト URL を入力します。IdP メタデータをインポートすると、情報が自動的に更新されます。

IdP 証明書

IdP 証明書を入力して、SAML 応答を復号化します。IdP メタデータをインポートすると、情報が自動的に更新されます。