[エンドユーザ認証] ページについて
このページにアクセスするには、[ Secure Edge]>[ID]>[ユーザー認証] を選択します。
エンド ユーザーを認証するための認証プロファイルを設定します。
SAML プロファイルを作成する
SAML プロファイルを作成するには:
「 セキュアエッジ > アイデンティティ > ユーザー認証 」を選択します。
[エンド ユーザー認証] ページに [SAML プロファイル] タブが表示されます。
- 表1のガイドラインに従って構成を完了します
手記:
アスタリスク (*) の付いたフィールドは必須です。
図 1: SAML プロファイル図 2: IdP 属性図 3: IdP メタデータ URL - OK をクリックします。
畑 |
形容 |
---|---|
SAMLプロファイル | |
SAMLプロファイル |
SAML 認証を有効または無効にします。 |
ACS の URL |
アサーション コンシューマー サービス (ACS) の URL を表示します。ACS URL は、ユーザを認証した後に SAML 応答を送信する場所を IdP に指示します。 |
ディレクトリ同期 |
Secure EdgeポリシーでIdPディレクトリのユーザーグループを使用できるようにします。サポートされている IdP は、Okta と Entra ID (Azure AD) です。 |
ID プロバイダー (IdP) の構成 |
|
アイデンティティプロバイダ |
IdP を選択します。ディレクトリ同期に使用できる IdP は、Okta と Entra ID (Azure AD) です。 |
Oktaの構成 |
|
セキュリティ API トークン |
Juniper Secure EdgeのOkta管理コンソールの [API>トークン]>[トークンの作成 ]メニューを使用して作成したOkta APIトークンを入力します。APIトークンは30日間有効です。 SAML プロファイルまたはディレクトリ同期が 30 日を超えて非アクティブ/無効になると、取り消され、再度使用できなくなります。再構成するには、新しいトークンを作成する必要があります。 |
テナント ドメイン |
Oktaで構成されているドメインを入力します。Okta管理コンソールの右上隅にあるユーザー名をクリックして、Oktaドメインを見つけます。ドメインがドロップダウンメニューに表示されます。 |
検証 |
[ 検証 ] ボタンをクリックして、構成の有効性をテストします。 |
Entra ID の設定 |
|
アプリケーションID |
Juniper Secure EdgeのMicrosoft Entra管理センターでアプリの登録を完了した後に割り当てられた アプリケーション(クライアント)ID を入力します。 |
ディレクトリ (テナント) ID |
Juniper Secure Edge の Microsoft En tra 管理センターでアプリの登録を完了した後に割り当てられた ディレクトリ (テナント) ID を入力します。 |
クライアント シークレット |
Juniper Secure Edge の Microsoft Entra 管理センターの [ Client secrets] メニューの [証明書と>シークレット ] を使用して生成されたクライアント シークレットを入力します。Microsoft Entra は有効期限のあるクライアント シークレットを生成するため、有効期限の前にクライアント シークレットを更新します。 |
検証 |
[ 検証 ] ボタンをクリックして、構成の有効性をテストします。 |
IdP 設定 |
|
メタデータ URL |
IdP メタデータ URL を入力します。サービス プロバイダー (SP) は、メタデータ URL を使用して、SAML アサーションが正しい IdP から発行されたことを検証します。 |
サービス プロバイダ(SP) |
|
エンティティ ID |
SAML プロファイルの一意の識別子を表示します。 |
ユーザー名属性 |
SAML のユーザー名属性を入力します。 ユーザー名属性は必須で、電子メール アドレス形式である必要があります。ユーザー名属性は、SAML アサーション応答で IdP によって提供されるユーザーデータにマップされます。 |
署名認証要求 |
切り替えボタンを有効にして、Juniper Secure EdgeからIdPに送信されるSAML認証要求に署名します。署名認証要求を有効にする場合は、秘密キーと公開キー証明書の両方を指定する必要があります。 |
秘密鍵 |
ローカルで生成した秘密キーを入力します。Juniper Secure Edgeでは、SAML認証リクエストの署名にプライベートキーを使用します。秘密キーは IdP と共有されません。 |
公開鍵 |
ローカルで生成した公開キーを入力します。公開キー証明書は、ユーザーによってローカルに生成されます。同じ公開キー証明書を IdP ポータルにアップロードする必要があります。IdP では、公開鍵証明書は、Juniper Secure Edge から送信された SAML 認証要求を検証するために使用されます。 |
グループ属性 |
エンドユーザーが属するグループ属性を入力し、フィルタリングしてIDPに送信します。 |
名属性 |
SAML ユーザーの名属性を入力します。 名 属性は、ユーザー・プロファイルを作成するために使用されます。 |
姓属性 |
SAML ユーザーの姓属性を入力します。 姓属性は、ユーザー・プロファイルを作成するために使用されます。 |
-
SAML の場合、再試行とロック期間は SAML サーバーで構成できます。
-
既定では、ディレクトリ同期は定期的に実行されます。
LDAPS プロファイルの作成
LDAPS プロファイル設定は、高可用性(HA)をサポートします。プライマリとセカンダリの両方のLDAPSサーバーを設定する必要があります。SSL 暗号化を有効にした場合、デフォルトの SSL LDAP ポート番号は 636 になります。SSL を使用していない場合、デフォルトのポート番号は 389 です。
LDAPS プロファイルを作成するには、次のようにします。
「 セキュアエッジ > アイデンティティ > ユーザー認証 」を選択します。
[エンド ユーザー認証] ページが表示されます。
- 「 LDAPS 」タブをクリックします。
- 表2のガイドラインに従って設定を完了してください
手記:
アスタリスク (*) の付いたフィールドは必須です。
図4: LDAPSプロファイル - OK をクリックします。
畑 |
形容 |
---|---|
プライマリ サーバ |
|
サーバーアドレス |
LDAP認証サーバーのIPアドレスを入力します。サーバーアドレスは、特定の LDAP サーバーに割り当てられ、サーバーへの情報のルーティングに使用される一意の IPv4 または IPv6 アドレスです。 |
SSL 証明書 |
LDAP クライアントが SSL 接続を確立するためのクライアント証明書。LDAP サーバーで SSL 暗号化を使用する場合は、LDAP サーバーから SSL 証明書をインポートする必要があります。 [参照] をクリックし、SSL 証明書を選択して [ 開く] をクリックします。 |
ポート番号 |
LDAP クライアントが接続できる LDAP サーバー上のポートを指定します。 |
セカンダリ サーバ(オプション) | 切り替えボタンをクリックして、セカンダリ サーバーを有効にします。 |
サーバーアドレス |
セカンダリLDAP認証サーバーのIPアドレスを入力します。サーバーアドレスは、特定の LDAP サーバーに割り当てられ、サーバーへの情報のルーティングに使用される一意の IPv4 または IPv6 アドレスです。 |
SSL 証明書 |
LDAP クライアントが SSL 接続を確立するためのクライアント証明書。セカンダリ LDAP サーバで SSL 暗号化を使用する場合は、LDAP サーバから SSL 証明書をインポートする必要があります。 [参照] をクリックし、SSL 証明書を選択して [ 開く] をクリックします。 |
ポート番号 |
LDAP クライアントが接続できるセカンダリ LDAP サーバー上のポートを指定します。 |
LDAP サーバ接続のテスト |
[ LDAP サーバー接続のテスト] をクリックして、接続が確立されているかどうかを確認します。 |
LDAP認証 |
|
ベース ドメイン名 |
検索ベースの識別名(DN)を入力します。ユーザーディレクトリのベースを指定する検索ベース(LDAPベース)の識別名を設定します。ディレクトリ内のすべてのエントリには、識別名 (DN) があります。DN は、ディレクトリー内のエントリーを一意に識別する名前です。 |
バインドドメイン名 |
サーバーにバインドする LDAP クライアントのプロキシー・アカウントの識別名を入力します。LDAP クライアントを LDAP サーバーにバインドするための識別名を構成します。 |
バインドパスワード |
LDAP サーバーとバインドする LDAP クライアントの資格情報を入力します。公開キーのパスワードを設定します。[ 認証のテスト ] をクリックして、資格情報が認証用にバインドされているかどうかを確認します。 |
ユーザー オプション |
|
ユーザー属性 |
ユーザー エントリの比較に使用するユーザー名属性を入力します。ユーザー名属性には、LDAP サーバーへのアクセス許可があります。 |
ユーザー フィルター |
LDAP の検索パラメーター・フィルターに使用する値を入力します。 |
共有データベースの管理
エンドユーザーは、ユーザーのユーザー名(電子メールアドレス)とパスワードで構成されるホストされたデータベースに対して認証できます。管理者は、Juniper Secure Edgeポータルを使用して、ホストされたデータベース内のユーザーを設定し、アクティブ化することができます。Juniper Secure Edgeポータルでユーザーを設定すると、認証情報(ユーザー名とパスワード)が記載された電子メールがユーザーに送信されます。ユーザーがこの情報を取得すると、電子メール アドレスとパスワードを資格情報として使用して認証できます。
[ホストされたデータベース] タブを使用して、エンド ユーザー プロファイルまたはグループ プロファイルを追加、変更、および削除します。
このページから、次のタスクを実行できます。
- エンド ユーザー プロファイルを追加します。 エンド ユーザ プロファイルの追加を参照してください。
- エンド ユーザー プロファイルを編集または削除します。 エンドユーザープロファイルの編集と削除を参照してください。
- グループを追加します。
- グループを編集または削除します。
- エンドユーザープロファイルの詳細を表示します。 表 3 を参照してください。
ホストされたデータベースでは、最大で 5 回の再試行が行われ、その後ユーザがロックされます。再試行の回数は構成できません。ユーザーがロックされると、そのユーザーのロックを解除できるのは管理者のみです。
畑 |
形容 |
---|---|
エンドユーザー |
|
名前 |
テナントの一部であるユーザーの名前を表示します。 |
電子メール |
ユーザーの電子メール アドレスを表示します。電子メールは、ユーザーが認証に使用するユーザー名です。 |
グループ |
ユーザーが所属するグループが表示されます。グループ名は domain:groupname 形式で表示されます。 |
グループ | |
名前 |
グループの名前が表示されます。 |
ユーザー名 |
[ ユーザーの表示 ] をクリックして、グループ内のユーザーのリストを表示します。ユーザーのユーザー名は、ユーザーの電子メール アドレスです。 |
ドメイン |
グループが属するドメインが表示されます。 |
形容 |
グループの説明が表示されます。 |