Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

OneLogin™(1つのID)でゲストポータルのシングルサインオンアクセスを有効にする

この情報は、OneLogin™と統合してゲストユーザーを認証する場合に使用します。

ジュニパー Mistは、ネットワーク上でのデバイス認証用にSAML 2.0をサポートしています。そのため、OneLogin™(現在のOne Identity)をIDプロバイダ(IdP)として使用し、ゲストアクセス用のシングルサインオン(SSO)WLANを設定できます。SAML SSOを使用すると、ユーザーはIDプロバイダーに一度ログオンすれば、再度ログインすることなく、他の複数のWebアプリケーションにシームレスにアクセスできます。ジュニパー Mist ゲストポータルと OneLogin はどちらも、RADIUS EAP-TTLS/PAP と EAP-PEAP/MSCHAPv2 の認証方法をサポートしています。

ゲストポータルの設定を開始する前に、OneLoginポータルの管理者資格情報があり、SAMLアプリケーションをすでに持っている(または作成する準備ができている)必要があります。

ジュニパー MistポータルでOneLogin SSOを設定するには、OneLogin SAMLアプリケーション(図1)から以下の情報を取得する必要があります(図2)。

さらに、その側の設定を完了するには、ポータル SSO URL をMistポータルからOneLoginアプリケーションにコピーする必要があります(ポータルSSO URLはWLANの初期設定を保存するまで作成されないため、実際にはWLAN設定ページにループバックします)。

  • OneLoginアプリケーションの場合、シグネチャアルゴリズムは SHA-256に設定する必要があります。この変更を行うと同時に、 X.509証明書 をコピーして保存し、後でジュニパー Mistポータルで使用することができます。x.509証明書は、OneLoginとジュニパーMistゲストポータル間の信頼を確立する公開証明書です。

  • OneLoginアプリケーションから、発行者URLSAML 2.0エンドポイントに表示されている値をコピーして保存します。これらのオプションを使用するには、SAML発行者タイプフィールドを変更する必要がある場合があります。 SAMLカスタムコネクタの詳細を参照してください。

    図1:OneLogin SAMLアプリのSSO設定画面

    OneLogin SAML App SSO Configuration Screen

OneLoginからSSOアクセスを使用してWLANを設定するには:

  1. ジュニパーのMistメニューから、[サイト] |無線>WLAN、表示されるリストから既存のWLANを選択するか、[WLANの追加]ボタンをクリックして新しいを作成します。
  2. WLAN 設定ページの [ゲスト ポータル] セクションまでスクロールし、[ID プロバイダーを使用した SSO] を選択します。
  3. 表示されるフィールドに、OneLogin SAMLアプリケーションから収集した情報(図1)を使用して、以下を入力します。

    • 発行者—OneLoginアプリケーションから 発行者のURL を入力します。

    • SSO URL—OneLoginアプリケーションから SAML 2.0エンドポイント を入力します。

    • 証明書—OneLoginアプリケーションの X.509証明書 を貼り付けます。

    図2:OneLoginの相互運用性に関する設定の詳細

    Configuration Details for OneLogin Interoperation
  4. (オプション)再度ログインする必要がなくなるまで、クライアントがネットワーク上にとどまる時間を制限できます。そのためには、デバイスが許可されたままになるフィールドで時間の長さを選択します。
  5. (オプション)クライアントがログインした後、指定されたURLまたはホームページにリダイレクトできます。そのためには、チェックボックスをオンにして、[認証後URLへのリダイレクト]フィールドにそのURLを入力します。
  6. 作成または保存ボタンをクリックして設定をMist クラウドにアップロードし、ポータルSSO URLを生成します。ゲストポータルからのリクエストを認識できるように、OneLogin SAMLアプリケーションに入力する必要があります。
  7. WLAN の WLAN 設定ページを再度開き、ポータル SSO URLコピーします。
  8. OneLoginアプリケーションの詳細ページに移動し、コピーしたポータルSSO URLを以下のフィールドに貼り付けます。

    • RelayState

    • オーディエンス(エンティティID)

    • 受信者

    • ACS(コンシューマ)URL バリデーター

    • ACS(コンシューマ)URL

    • ログインURL

    OneLoginアプリの設定の同じページで、アサーションと応答用の SAMLシグネチャ要素 を含めることができます。 両方を選択します。
    ジュニパー Mistゲストポータルとの相互運用のためのOneLoginアプリケーションの設定に関しては、上記の設定のみが必要です。ただし、アプリケーションを表示するユーザーも指定する必要があります。
  9. ゲストポータルからリダイレクトされたときにOneLoginログインページを正しく開くには、ドメインをカバーするさまざまなホスト名を指定する必要がある場合があります。これは、ジュニパー Mist WLAN設定ページの許可されたホスト名フィールドで行います。OneLoginのこのページ、またはパケットキャプチャを使用して、ポート53を監視し、ドメインが何を解決するかを確認します。
  10. 例外の場合にゲスト/外部ポータルをバイパスオプションが有効になっている場合、APがポータルまたはOneLoginサービスに到達できない場合、クライアントにWLANへの接続を自動的に承認します。
  11. 保存」をクリックして、ゲストポータルのOneLogin SSOを完了します。
すべてが正しく動作していることを確認するには、OneLoginポータルからログアウトし、作成したばかりのWLANでログインします。ログイン資格情報を入力できるOneLoginページにリダイレクトされ、次にジュニパーネットワークスのホームページ(または指定したURL)にリダイレクトされます。