Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

[エンドユーザ認証] ページについて

このページにアクセスするには、[ Secure Edge]>[ID]>[ユーザー認証] を選択します。

エンド ユーザーを認証するための認証プロファイルを設定します。

実行できるタスク

このページから、次のタスクを実行できます。

SAML プロファイルを作成する

SAML プロファイルを作成するには:

  1. セキュアエッジ > アイデンティティ > ユーザー認証 」を選択します。

    [エンド ユーザー認証] ページに [SAML プロファイル] タブが表示されます。

  2. 表1のガイドラインに従って構成を完了します
    手記:

    アスタリスク (*) の付いたフィールドは必須です。

    図 1: SAML プロファイル SAML Profile
    図 2: IdP 属性IdP Attributes
    図 3: IdP メタデータ URL IdP Metadata URL
  3. OK をクリックします。
表 1: [SAML プロファイル] タブのフィールド

形容

SAMLプロファイル

SAMLプロファイル

SAML 認証を有効または無効にします。

ACS の URL

アサーション コンシューマー サービス (ACS) の URL を表示します。ACS URL は、ユーザを認証した後に SAML 応答を送信する場所を IdP に指示します。

ディレクトリ同期

Secure EdgeポリシーでIdPディレクトリのユーザーグループを使用できるようにします。サポートされている IdP は、Okta と Entra ID (Azure AD) です。

ID プロバイダー (IdP) の構成

アイデンティティプロバイダ

IdP を選択します。ディレクトリ同期に使用できる IdP は、Okta と Entra ID (Azure AD) です。

Oktaの構成

セキュリティ API トークン

Juniper Secure EdgeのOkta管理コンソールの [API>トークン]>[トークンの作成 ]メニューを使用して作成したOkta APIトークンを入力します。APIトークンは30日間有効です。

SAML プロファイルまたはディレクトリ同期が 30 日を超えて非アクティブ/無効になると、取り消され、再度使用できなくなります。再構成するには、新しいトークンを作成する必要があります。

テナント ドメイン

Oktaで構成されているドメインを入力します。Okta管理コンソールの右上隅にあるユーザー名をクリックして、Oktaドメインを見つけます。ドメインがドロップダウンメニューに表示されます。

検証

[ 検証 ] ボタンをクリックして、構成の有効性をテストします。

Entra ID の設定

アプリケーションID

Juniper Secure EdgeのMicrosoft Entra管理センターでアプリの登録を完了した後に割り当てられた アプリケーション(クライアント)ID を入力します。

ディレクトリ (テナント) ID

Juniper Secure Edge の Microsoft En tra 管理センターでアプリの登録を完了した後に割り当てられた ディレクトリ (テナント) ID を入力します。

クライアント シークレット

Juniper Secure Edge の Microsoft Entra 管理センターの [ Client secrets] メニューの [証明書と>シークレット ] を使用して生成されたクライアント シークレットを入力します。Microsoft Entra は有効期限のあるクライアント シークレットを生成するため、有効期限の前にクライアント シークレットを更新します。

検証

[ 検証 ] ボタンをクリックして、構成の有効性をテストします。

IdP 設定

  • [ 設定のインポート ] を選択して、IdP メタデータを一度にインポートします。メタデータ ファイルは XML 形式である必要があります。

  • IdP 設定を手動で構成するには、[ 設定を手動で入力] を選択します。

  • URL から設定をコピーするには、[ メタデータ URL を入力] を選択します。

メタデータ URL

IdP メタデータ URL を入力します。サービス プロバイダー (SP) は、メタデータ URL を使用して、SAML アサーションが正しい IdP から発行されたことを検証します。

サービス プロバイダ(SP)

エンティティ ID

SAML プロファイルの一意の識別子を表示します。

ユーザー名属性

SAML のユーザー名属性を入力します。

ユーザー名属性は必須で、電子メール アドレス形式である必要があります。ユーザー名属性は、SAML アサーション応答で IdP によって提供されるユーザーデータにマップされます。

署名認証要求

切り替えボタンを有効にして、Juniper Secure EdgeからIdPに送信されるSAML認証要求に署名します。署名認証要求を有効にする場合は、秘密キーと公開キー証明書の両方を指定する必要があります。

秘密鍵

ローカルで生成した秘密キーを入力します。Juniper Secure Edgeでは、SAML認証リクエストの署名にプライベートキーを使用します。秘密キーは IdP と共有されません。

公開鍵

ローカルで生成した公開キーを入力します。公開キー証明書は、ユーザーによってローカルに生成されます。同じ公開キー証明書を IdP ポータルにアップロードする必要があります。IdP では、公開鍵証明書は、Juniper Secure Edge から送信された SAML 認証要求を検証するために使用されます。

グループ属性

エンドユーザーが属するグループ属性を入力し、フィルタリングしてIDPに送信します。

名属性

SAML ユーザーの名属性を入力します。

名 属性は、ユーザー・プロファイルを作成するために使用されます。

姓属性

SAML ユーザーの姓属性を入力します。

姓属性は、ユーザー・プロファイルを作成するために使用されます。

手記:
  • SAML の場合、再試行とロック期間は SAML サーバーで構成できます。

  • 既定では、ディレクトリ同期は定期的に実行されます。

LDAPS プロファイルの作成

LDAPS プロファイル設定は、高可用性(HA)をサポートします。プライマリとセカンダリの両方のLDAPSサーバーを設定する必要があります。SSL 暗号化を有効にした場合、デフォルトの SSL LDAP ポート番号は 636 になります。SSL を使用していない場合、デフォルトのポート番号は 389 です。

LDAPS プロファイルを作成するには、次のようにします。

  1. セキュアエッジ > アイデンティティ > ユーザー認証 」を選択します。

    [エンド ユーザー認証] ページが表示されます。

  2. LDAPS 」タブをクリックします。
  3. 表2のガイドラインに従って設定を完了してください
    手記:

    アスタリスク (*) の付いたフィールドは必須です。

    図4: LDAPSプロファイル LDAPS Profile
  4. OK をクリックします。
表 2: LDAPS プロファイル タブのフィールド

形容

プライマリ サーバ

サーバーアドレス

LDAP認証サーバーのIPアドレスを入力します。サーバーアドレスは、特定の LDAP サーバーに割り当てられ、サーバーへの情報のルーティングに使用される一意の IPv4 または IPv6 アドレスです。

SSL 証明書

LDAP クライアントが SSL 接続を確立するためのクライアント証明書。LDAP サーバーで SSL 暗号化を使用する場合は、LDAP サーバーから SSL 証明書をインポートする必要があります。 [参照] をクリックし、SSL 証明書を選択して [ 開く] をクリックします。

ポート番号

LDAP クライアントが接続できる LDAP サーバー上のポートを指定します。

セカンダリ サーバ(オプション)

切り替えボタンをクリックして、セカンダリ サーバーを有効にします。

サーバーアドレス

セカンダリLDAP認証サーバーのIPアドレスを入力します。サーバーアドレスは、特定の LDAP サーバーに割り当てられ、サーバーへの情報のルーティングに使用される一意の IPv4 または IPv6 アドレスです。

SSL 証明書

LDAP クライアントが SSL 接続を確立するためのクライアント証明書。セカンダリ LDAP サーバで SSL 暗号化を使用する場合は、LDAP サーバから SSL 証明書をインポートする必要があります。 [参照] をクリックし、SSL 証明書を選択して [ 開く] をクリックします。

ポート番号

LDAP クライアントが接続できるセカンダリ LDAP サーバー上のポートを指定します。

LDAP サーバ接続のテスト

[ LDAP サーバー接続のテスト] をクリックして、接続が確立されているかどうかを確認します。

LDAP認証

ベース ドメイン名

検索ベースの識別名(DN)を入力します。ユーザーディレクトリのベースを指定する検索ベース(LDAPベース)の識別名を設定します。ディレクトリ内のすべてのエントリには、識別名 (DN) があります。DN は、ディレクトリー内のエントリーを一意に識別する名前です。

バインドドメイン名

サーバーにバインドする LDAP クライアントのプロキシー・アカウントの識別名を入力します。LDAP クライアントを LDAP サーバーにバインドするための識別名を構成します。

バインドパスワード

LDAP サーバーとバインドする LDAP クライアントの資格情報を入力します。公開キーのパスワードを設定します。[ 認証のテスト ] をクリックして、資格情報が認証用にバインドされているかどうかを確認します。

ユーザー オプション

ユーザー属性

ユーザー エントリの比較に使用するユーザー名属性を入力します。ユーザー名属性には、LDAP サーバーへのアクセス許可があります。

ユーザー フィルター

LDAP の検索パラメーター・フィルターに使用する値を入力します。

共有データベースの管理

エンドユーザーは、ユーザーのユーザー名(電子メールアドレス)とパスワードで構成されるホストされたデータベースに対して認証できます。管理者は、Juniper Secure Edgeポータルを使用して、ホストされたデータベース内のユーザーを設定し、アクティブ化することができます。Juniper Secure Edgeポータルでユーザーを設定すると、認証情報(ユーザー名とパスワード)が記載された電子メールがユーザーに送信されます。ユーザーがこの情報を取得すると、電子メール アドレスとパスワードを資格情報として使用して認証できます。

[ホストされたデータベース] タブを使用して、エンド ユーザー プロファイルまたはグループ プロファイルを追加、変更、および削除します。

このページから、次のタスクを実行できます。

手記:

ホストされたデータベースでは、最大で 5 回の再試行が行われ、その後ユーザがロックされます。再試行の回数は構成できません。ユーザーがロックされると、そのユーザーのロックを解除できるのは管理者のみです。

表 3: [ホストされたデータベース] タブのフィールド

形容

エンドユーザー

名前

テナントの一部であるユーザーの名前を表示します。

電子メール

ユーザーの電子メール アドレスを表示します。電子メールは、ユーザーが認証に使用するユーザー名です。

グループ

ユーザーが所属するグループが表示されます。グループ名は domain:groupname 形式で表示されます。

グループ

名前

グループの名前が表示されます。

ユーザー名

[ ユーザーの表示 ] をクリックして、グループ内のユーザーのリストを表示します。ユーザーのユーザー名は、ユーザーの電子メール アドレスです。

ドメイン

グループが属するドメインが表示されます。

形容

グループの説明が表示されます。