Cloudflare Zero Trust(Cloudflare Access)のSAML JIT設定方法

 項目

内容 

事前確認

  • Cloudflare にて事前の設定が必要です。

  • 最新の設定手順は、Cloudflare からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Cloudflare (SAML)」を選択します。
    Cloudflare.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png


  4. 「サービスプロバイダーの設定」の「ログインURL」「エンティティID」「サービスへのACS URL」の空欄3箇所に、Cloudflare Zero Trust の「team name」を入力します。
    team name は Cloudflare Zero Trust の「Settings > General >Team domain」で確認できます。
    05.png

    04.png

  5. 「登録」ボタンで保存します。

  6. この後のCloudflare の設定で接続テストを行うため、設定を行なっている管理者を作成したSAMLアプリにメンバー追加します。「管理ページ > アプリ」メニューで「Cloudflare (SAML)」アプリを検索し、「メンバー追加」で管理者アカウントを追加します。
    Cloudflare02.png

 

Cloudflare の設定

  1. 管理者アカウントでCloudflareダッシュボードにログイン後、左メニューから「Zero Trust」を開きます。
    07.png

  2. 「Settings > Authentication」を開きます。
    08.png

  3. 「Login methods」の「Add new」ボタンをクリックします。
    09.png

  4. 「SAML」を選択します。
    10.png

  5. 「Name」に任意の名称を入力し、トラスト・ログインからダウンロードしたメタデータをドロップエリアにドラッグ&ドロップします。
    11.png

    メタデータをドロップすると、その下の「Single sign-on URL」「IdP Entity ID or Issuer URL」「Signing certificate」に値が自動反映されたことを確認します。
    12.png

  6. 「SAML attributes」までスクロールし、「+ Add attributes」で行を追加します。3行に「email」「firstName」「lastName」と入力します。
    13.png

  7. 「Save」ボタンで保存します。

  8. 作成したSAML設定の右の「Test」をクリックします。
    14.png

    「Your connection works!」の表示が出たら接続テスト成功です。
    15.png

  9. 左メニューから「Access > Access Groups」を開き、ディフォルトグループの「Edit」を開きます。(Access Groupが未設定の場合は「Add a Group」より追加します。)
    16.png

  10. 「Group configuration」の「Selector」を「Login Methods」をプルダウンから選択し、「Value」で作成したSAML設定をチェックします。
    17.png

  11. 「Save」ボタンで保存します。

  12. 「Settings > Autentication」を開き「App Launcher」の「Manage」ボタンをクリックします。
    20.png

  13. Rulesタブで「Add a rule」ボタンをクリックします。
    21.png

  14.  「Rule Name」に任意の名称を設定し、「Rule Action」を「Allow」とします。
    「Assign a group」で手順9で設定したGroupにチェックを入れ、「Save」ボタンで保存します。
    22.png

  15. Autenticationタブを開き、設定したSAML設定を許可します。詳細な設定につきましてはお客様の運用に合わせて設定してください。(下の画像では例として全てのIdP設定を許可する内容で設定を行なっています)
    最後に「Save」ボタンで保存します。
    23.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Cloudflare (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Cloudflare (SAML)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

Cloudflare へのログイン方法

  1. トラスト・ログインのマイページまたは拡張機能のアプリアイコン、
    または ブラウザで https://<お客様のteam name>.cloudflareaccess.com/ を開きます。

  2. 「Login」ボタンをクリックします。
    18.png

  3. 「Sign in with:」の下の設定したSAMLボタンをクリックします。
    19.png

  4. ログインが完了しApp Launcherが表示されます。
    24.png

Cloudflare Zero Trust(Cloudflare Access)のSAML JIT設定方法

 項目

内容 

事前確認

  • Cloudflare にて事前の設定が必要です。

  • 最新の設定手順は、Cloudflare からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Cloudflare (SAML)」を選択します。
    Cloudflare.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png


  4. 「サービスプロバイダーの設定」の「ログインURL」「エンティティID」「サービスへのACS URL」の空欄3箇所に、Cloudflare Zero Trust の「team name」を入力します。
    team name は Cloudflare Zero Trust の「Settings > General >Team domain」で確認できます。
    05.png

    04.png

  5. 「登録」ボタンで保存します。

  6. この後のCloudflare の設定で接続テストを行うため、設定を行なっている管理者を作成したSAMLアプリにメンバー追加します。「管理ページ > アプリ」メニューで「Cloudflare (SAML)」アプリを検索し、「メンバー追加」で管理者アカウントを追加します。
    Cloudflare02.png

 

Cloudflare の設定

  1. 管理者アカウントでCloudflareダッシュボードにログイン後、左メニューから「Zero Trust」を開きます。
    07.png

  2. 「Settings > Authentication」を開きます。
    08.png

  3. 「Login methods」の「Add new」ボタンをクリックします。
    09.png

  4. 「SAML」を選択します。
    10.png

  5. 「Name」に任意の名称を入力し、トラスト・ログインからダウンロードしたメタデータをドロップエリアにドラッグ&ドロップします。
    11.png

    メタデータをドロップすると、その下の「Single sign-on URL」「IdP Entity ID or Issuer URL」「Signing certificate」に値が自動反映されたことを確認します。
    12.png

  6. 「SAML attributes」までスクロールし、「+ Add attributes」で行を追加します。3行に「email」「firstName」「lastName」と入力します。
    13.png

  7. 「Save」ボタンで保存します。

  8. 作成したSAML設定の右の「Test」をクリックします。
    14.png

    「Your connection works!」の表示が出たら接続テスト成功です。
    15.png

  9. 左メニューから「Access > Access Groups」を開き、ディフォルトグループの「Edit」を開きます。(Access Groupが未設定の場合は「Add a Group」より追加します。)
    16.png

  10. 「Group configuration」の「Selector」を「Login Methods」をプルダウンから選択し、「Value」で作成したSAML設定をチェックします。
    17.png

  11. 「Save」ボタンで保存します。

  12. 「Settings > Autentication」を開き「App Launcher」の「Manage」ボタンをクリックします。
    20.png

  13. Rulesタブで「Add a rule」ボタンをクリックします。
    21.png

  14.  「Rule Name」に任意の名称を設定し、「Rule Action」を「Allow」とします。
    「Assign a group」で手順9で設定したGroupにチェックを入れ、「Save」ボタンで保存します。
    22.png

  15. Autenticationタブを開き、設定したSAML設定を許可します。詳細な設定につきましてはお客様の運用に合わせて設定してください。(下の画像では例として全てのIdP設定を許可する内容で設定を行なっています)
    最後に「Save」ボタンで保存します。
    23.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Cloudflare (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Cloudflare (SAML)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

Cloudflare へのログイン方法

  1. トラスト・ログインのマイページまたは拡張機能のアプリアイコン、
    または ブラウザで https://<お客様のteam name>.cloudflareaccess.com/ を開きます。

  2. 「Login」ボタンをクリックします。
    18.png

  3. 「Sign in with:」の下の設定したSAMLボタンをクリックします。
    19.png

  4. ログインが完了しApp Launcherが表示されます。
    24.png