Zscaler Internet Access のSAML認証の設定方法

 項目

内容 

事前確認

  • Zscaler にて事前の設定が必要です。

  • Zscaler にトラスト・ログインと同じメールアドレスでアカウントを作成しておく必要があります。
  • 最新の設定手順は、Zscaler からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

  APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)
  SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)
※プロビジョニングを行う場合の設定方法はこちら

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Zscaler Internet Access (SAML)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」を控え、「証明書を取得」から証明書をダウンロードします。ダウンロードした証明書は拡張子を「.pem」に変更しておきます。
    03.png

ここで、Zscaler 側の設定に移ります。
「登録」ボタンは押さず、別タブでZscaler Internet Access サービスポータルを開いてください。

 

Zscaler Internet Access の設定

  1. 管理者アカウントでログインし、左メニューから「管理 > 認証 > 認可」を開きます。
    05.png

  2. 「認可」の画面が表示されたら、各項目を以下のように設定し保存します。
    ユーザーリポジトリタイプ 「内部DB」を選択
    認証頻度 任意の値を選択
    認証タイプ 「SAML」を選択
    一時的な認証 「無効」を選択

    06.png

  3. 「管理 > IDプロバイダー」タブを選択し、「追加IdP」を押下します。
    07.png

  4. 追加IdPの画面が表示されたら、各項目を以下のように設定し「保存」ボタンを押下します。
    名前 「TrustLogin」と入力
    SAMLポータルURL トラスト・ログインから控えたIDプロバイダーURL
    ログイン名の属性 「NameID」と入力
    組織固有のエンティティID 「有効」を選択
    IdP SAML証明書 トラスト・ログインからダウンロードした証明書をアップロードする
    ベンダー 「Others」を選択
    SAMLリクエストをサイン OFF
    SPメタデータ 「メタデータをダウンロード」からダウンロード
    SAML自動プロビジョニングを有効化 OFF

    08.png
    画像 (2).png

  5. 「有効化」を押下します。
    ZIA3.png

  6. Zscaler から取得したメタデータファイルをテキストエディタで開き、Locationの値 "https://login.[ドメイン].net/sfc_sso"の [ドメイン].net  の後ろに『:443』を追記して上書き保存します。
    (Location で検索すると見つけやすいです。)

    書き換え後、XMLファイルで保存します。
    ZIA.png

トラスト・ログインの管理ページの設定(続き)

再び、トラスト・ログインの管理ページに戻ります。

  1. 「サービスプロバイダの設定」の「メタデータを選択」より、Zscalerからダウンロードし、Locationの値を書き換えたメタデータをアップロードします。
    04.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Zscaler Internet Access (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Zscaler Internet Access(SAML)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

Zscaler Internet Access のSAML認証の設定方法

 項目

内容 

事前確認

  • Zscaler にて事前の設定が必要です。

  • Zscaler にトラスト・ログインと同じメールアドレスでアカウントを作成しておく必要があります。
  • 最新の設定手順は、Zscaler からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

  APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)
  SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)
※プロビジョニングを行う場合の設定方法はこちら

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Zscaler Internet Access (SAML)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」を控え、「証明書を取得」から証明書をダウンロードします。ダウンロードした証明書は拡張子を「.pem」に変更しておきます。
    03.png

ここで、Zscaler 側の設定に移ります。
「登録」ボタンは押さず、別タブでZscaler Internet Access サービスポータルを開いてください。

 

Zscaler Internet Access の設定

  1. 管理者アカウントでログインし、左メニューから「管理 > 認証 > 認可」を開きます。
    05.png

  2. 「認可」の画面が表示されたら、各項目を以下のように設定し保存します。
    ユーザーリポジトリタイプ 「内部DB」を選択
    認証頻度 任意の値を選択
    認証タイプ 「SAML」を選択
    一時的な認証 「無効」を選択

    06.png

  3. 「管理 > IDプロバイダー」タブを選択し、「追加IdP」を押下します。
    07.png

  4. 追加IdPの画面が表示されたら、各項目を以下のように設定し「保存」ボタンを押下します。
    名前 「TrustLogin」と入力
    SAMLポータルURL トラスト・ログインから控えたIDプロバイダーURL
    ログイン名の属性 「NameID」と入力
    組織固有のエンティティID 「有効」を選択
    IdP SAML証明書 トラスト・ログインからダウンロードした証明書をアップロードする
    ベンダー 「Others」を選択
    SAMLリクエストをサイン OFF
    SPメタデータ 「メタデータをダウンロード」からダウンロード
    SAML自動プロビジョニングを有効化 OFF

    08.png
    画像 (2).png

  5. 「有効化」を押下します。
    ZIA3.png

  6. Zscaler から取得したメタデータファイルをテキストエディタで開き、Locationの値 "https://login.[ドメイン].net/sfc_sso"の [ドメイン].net  の後ろに『:443』を追記して上書き保存します。
    (Location で検索すると見つけやすいです。)

    書き換え後、XMLファイルで保存します。
    ZIA.png

トラスト・ログインの管理ページの設定(続き)

再び、トラスト・ログインの管理ページに戻ります。

  1. 「サービスプロバイダの設定」の「メタデータを選択」より、Zscalerからダウンロードし、Locationの値を書き換えたメタデータをアップロードします。
    04.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Zscaler Internet Access (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Zscaler Internet Access(SAML)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。