SSO 設定を構成する
このページにアクセスするには、[ 管理 ] > [シングル サインオン] をクリックします。[シングル サインオンの構成] ページから、シングル サインオン (SSO) を構成、アクティブ化、または非アクティブ化できます。
SSO の構成中に関係するエンティティは次のとおりです。
- ID プロバイダー(IdP)— ユーザー ID の管理を処理する外部サーバー。たとえば、OktaやMicrosoft Azureなどです。
- サービスプロバイダ(SP)—ジュニパーATPクラウドは、ログインリクエストに応答してIdPから送信されたSAMLアサーションを受信するSPとして機能します。
IdP と SP の両方が相互を信頼し、設定を共有します。
-
「SAML 2.0 ID プロバイダーを使用したシングルサインオンの設定」を参照してください。
- IdP が既に SSO SAML 設定で構成されていることを確認します。
領域ごとに SSO 設定を構成する必要があります。
SSO 設定を構成するには:
- [管理] > [シングル サインオン] の順に選択します。
- 表 1 のガイドラインを使用して、構成を完了します。
- 「保存」をクリックします。
SP 設定と IdP 設定を構成した後、SSO をアクティブ化できます。SSO をアクティブ化するには、[ アクティブ化] をクリックします。
既存の SSO を非アクティブ化するには、[ 非アクティブ化] をクリックします。
フィールド |
説明 |
---|---|
サービスプロバイダーの設定 |
|
表示名 |
SSO 設定の表示名を入力します。 |
エンティティ ID |
ジュニパーATPクラウドカスタマーポータルの一意の識別子を入力します。 |
ユーザー名属性 |
SAML のユーザー名属性を入力します。ユーザー名属性は必須で、電子メール アドレス形式である必要があります。ユーザー名属性は、SAML アサーション応答で IdP によって提供されるユーザーデータにマップされます。 |
認証要求に署名する |
切り替えボタンを有効にして、Juniper ATP クラウドから IdP に送信される SAML 認証要求に署名します。 署名認証要求を有効にする場合は、秘密キーと公開キー証明書の両方を指定する必要があります。 |
SAML 応答の暗号化 |
トグルボタンを有効にして、IdP から返される SAML アサーションが暗号化されるように指定します。 SAML 応答の暗号化を有効にしている場合は、秘密キーと公開キー証明書の両方を指定する必要があります。
メモ:
Juniper ATP CloudカスタマーポータルでSAMLレスポンスの暗号化を有効にしているにもかかわらず、IdPからのSAMLレスポンスが暗号化されていない場合、SAML認証は拒否されます。 |
秘密鍵 |
秘密キーを入力します。秘密キーは、ユーザーによってローカルに生成されます。ジュニパーATPクラウドでは、SAML認証リクエストの署名にプライベートキーを使用します。秘密キーは IdP と共有されません。 |
公開鍵証明書 |
公開鍵証明書を入力します。公開キー証明書は、ユーザーによってローカルに生成されます。IdP ポータルで同じ公開キー証明書をアップロードする必要があります。IdP では、公開鍵証明書は、Juniper ATP クラウドから送信された SAML 認証要求を検証するために使用されます。 |
ロールのオプション | [デフォルトのロールを使用] または [IdP 固有のロールを入力] を選択します。 |
デフォルトロール |
|
デフォルトロール |
レルム内の SAML ユーザーのデフォルト・ロールを選択します。「ロール・マッピング」セクションでロールを入力していない場合は、レルムのデフォルト・ロールを指定する必要があります。リストからデフォルトのロールを選択します。
メモ:
SSO ページにログインするには、ロール属性またはデフォルトロールを設定する必要があります。 |
お名前(名) |
SAML ユーザーの名属性を入力します。名 属性は、ユーザー・プロファイルの作成に使用されます。名を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための名として使用されます。 |
お名前(姓) |
SAML ユーザーの姓属性を入力します。姓属性は、ユーザー・プロファイルの作成に使用されます。姓を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための姓として使用されます。 |
IdP 固有のロール |
|
グループ属性 |
(オプション)IdP で設定されているグループ属性を入力します。 例: ロール |
管理者 |
(オプション)Juniper ATP クラウド管理者ロールにマッピングする必要がある IdP 固有のロールを入力します。 例: role_admin |
演算子 |
(オプション)Juniper ATP クラウドオペレーターロールにマッピングする必要がある IdP 固有のロールを入力します。 例: role_operator |
オブザーバー |
(オプション)Juniper ATP クラウドオブザーバーロールにマッピングする必要がある IdP 固有のロールを入力します。 例: role_observer |
お名前(姓) |
SAML ユーザーの姓属性を入力します。姓属性は、ユーザー・プロファイルの作成に使用されます。姓を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための姓として使用されます。 |
お名前(名) |
SAML ユーザーの名属性を入力します。名 属性は、ユーザー・プロファイルの作成に使用されます。名を指定しない場合は、電子メール アドレスの一部がユーザー プロファイルを作成するための名として使用されます。 |
SPメタデータのエクスポート |
クリックすると、SP メタデータが XML 形式でダウンロードされます。管理者は、SP メタデータをダウンロードして使用し、IdP ポータルのすべての SP 設定を一度に動的に構成できます。管理者は、個々のSP設定を手動で構成する必要はありません。 |
アイデンティティプロバイダの設定 |
|
IdP 設定 |
[ 設定のインポート ] を選択して、IdP メタデータを一度にインポートします。IdP 設定を手動で構成するには、[ 設定を手動で入力] を選択します。 |
インポート |
XML 形式の IdP メタデータを選択し、[インポート] をクリックします。 |
エンティティ ID |
IdP の一意の識別子を入力します。IdP メタデータをインポートすると、情報が自動的に更新されます。 |
ログインURL |
IdP でユーザー認証用のリダイレクト URL を入力します。IdP メタデータをインポートすると、情報が自動的に更新されます。 |
IdP 証明書 |
IdP 証明書を入力して、SAML 応答を復号化します。IdP メタデータをインポートすると、情報が自動的に更新されます。 |