項目 |
内容 |
|
---|---|---|
事前確認 |
|
|
ネームID |
〇 |
メールアドレス |
カスタム属性 ※ カスタム属性の設定方法はこちら |
||
SP側の設定 |
〇 |
管理者様にて設定 |
SPへ設定を依頼 |
||
プロビジョニング |
APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可) |
|
SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可) |
||
〇 |
なし(各システムでアカウント作成) |
|
アクセス方法 |
〇 |
SP-Initiated SSO |
ー |
IdP-Initiated SSO |
|
デバイス別動作検証状況 |
〇 |
PC - ブラウザ |
〇 |
PC - デスクトップアプリ |
|
ー |
iOS - 標準ブラウザ (Safari) |
|
ー |
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
〇 |
iOS - ネイティブアプリ |
|
ー |
Android - 標準ブラウザ (Chrome) |
|
ー |
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
〇 |
Android - ネイティブアプリ |
|
SAML認証適用範囲 |
〇 |
全員有効(SAML認証のみとなる) |
ー |
その他 |
|
備考 |
|
(※) デバイス別動作検証状況の詳細につきましては、【参考】FRA のトラスト・ログイン認証連携時のサポート環境について の項目もご参照ください。
目次: |
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
- 「企業アプリ登録」画面で検索し、「FRA(Flexible Remote Access)」を選択します。
- 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
- Fsecコンソール上の「構成情報」から「識別子」「応答URL」「サインオンURL」情報を確認し、FRAグループごとに同じ値となる固有のドメイン情報を空欄箇所に入力します。
FRAグループ固有のドメイン情報はポータルや各ゲートウェイのURLのうち下記の箇所の情報となります。
認証ポータル https://**-***-portal.fra.ntt.com の「https://」と「-portal.fra.ntt.com」に挟まれた「**-***」の部分 ゲートウェイ(0系) https://**-***-gw0.fra.ntt.com の「https//」と「-gw0.fra.ntt.com」に挟まれた「**-***」の部分 ゲートウェイ(1系) https://**-***-gw1.fra.ntt.com の「https://」と「-gw1.fra.ntt.com」に挟まれた「**-***」の部分
確認方法は こちら をご参照ください。
- 「登録」ボタンで保存します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で「FRA(Flexible Remote Access)」を選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで「FRA(Flexible Remote Access)」アプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
FRA の設定
①Fsecコンソール上の設定
-
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスしま
す。 -
①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②「外部認証連携(LDAP・SAML)」をクリックします。
- 「新規追加」ボタンを押下します。
- 「SAML認証連携用サーバープロファイル新規追加」画面で必要な情報を入力します。入力が完了したら「確認」ボタンを押下します。
サーバープロファイル名 サーバープロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。 説明 本設定に任意の説明文を登録することができます。 メタデータファイル作成時に指定したFQDN 本手順では、1つのメタデータファイルに複数のFQDNを紐づけるため、対象のFQDNをすべて選択してください。 メタデータファイル 「ファイル追加」ボタンをクリックし、トラスト・ログインから取得したメタデータファイルを追加してください。
- 入力内容の確認を行い、「実行」ボタンをクリックします。
- 「OK」ボタンを押下します。
- 「外部認証連携(LDAP・SAML)」画面でSAML認証連携用サーバープロファイルが作成されたことを確認します。
- 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
※ トラスト・ログインで作成したメタデータファイル単位にSAML認証連携用サーバープロファイルの作成が必要です。
②FRAポータル上の設定
- FRAポータルにアクセスし、「Device > SAMLアイデンティティプロバイダ」を開き、サーバープロファイルが追加されていることを確認します。
- 「認証プロファイル > 追加」をクリックします。
- 認証プロファイルの作成画面が表示されます。「認証」の項目を以下のとおり設定します。
名前 プロファイルの識別に使用する任意の名前を入力 タイプ SAML IdPサーバープロファイル 追加したSAML認証連携用のサーバープロファイルを選択
- 「詳細」の項目を開き、「許可リスト > 追加」をクリックし、プルダウンから「all」を選択します。
- 「OK」をクリックします。
- 認証プロファイルが追加されたことを確認し、「NETWORK」をクリックします。
- 「ポータル > GP-portal」をクリックします。
- 「認証 > 追加」をクリックします。
- クライアント認証の追加画面が表示されます。各項目を以下のとおり設定します。
名前 クライアント認証設定の識別に使用する任意の名前 認証プロファイル 作成済みの認証プロファイルを選択 ユーザー資格情報またはクライアント証明書を使用した認証を許可 YES
- 「OK」をクリックします。
- 追加した認証設定を一番上に配置します。作成したクライアント認証にチェックを入れ、「上へ」をクリックして一番上まで移動させます。
- 「OK」をクリックします。
- 「ゲートウェイ > GP-GW」をクリックします。
- 「認証 > 追加」をクリックします。
- クライアント認証の追加画面が表示されます。各項目を以下のとおり設定します。
名前 クライアント認証設定の識別に使用する任意の名前 認証プロファイル 作成済みの認証プロファイルを選択 ユーザー資格情報またはクライアント証明書を使用した認証を許可 YES
- 「OK」をクリックします。
- 追加した認証設定を一番上に配置します。作成したクライアント認証にチェックを入れ、「上へ」をクリックして一番上まで移動させます。
- 「OK」をクリックします。
- 設定内容をコミットし、正常に反映されたことを確認します。
【参考】FRAへの接続確認
- FRAエージェントの画面の右上の三本線をクリックし、「設定」を選択します。
- 「サインアウト」> ユーザーの認証情報を削除の「OK」をクリックして一度接続を切断します。
再度「接続」をクリックします。
- トラスト・ログインの認証画面が表示されますので、認証を行います。
- 認証後、接続が完了となります。
【参考】サインインしているユーザー名の確認
- FRAエージェントの画面の右上の三本線をクリックし、「設定」を選択します。
- 左下にサインイン中のユーザー名が表示されます。
【参考】FRA のトラスト・ログイン認証連携時のサポート環境について
ここではFRA にてトラスト・ログインと認証連携する際の端末や認証方式などのサポート環境を記します。
認証連携はデフォルトではエージェント内蔵のブラウザにより行われます。
FRAエージェントの内蔵ブラウザによりトラスト・ログインと認証連携を行う場合(デフォルト/推奨)
サポートする認証方式 | Windows | Mac |
iOS/iPadOS |
Android |
パスワード認証 | 〇 | 〇 | 〇 | 〇 |
ワンタイムパスワード | 〇 | 〇 | 〇 | 〇 |
FIDOパスワードレス認証 |
ー ※1 | ー ※1 | ー | ー |
クライアント認証 | 〇 | ー | ー | ー |
プッシュ通知認証 |
〇 | 〇 | 〇 | 〇 |
凡例) 〇:サポート対象 ー:サポート対象外
※1 現時点(2024/12)では未対応ですが、今後対応予定となります。
-
一部の認証方式については内蔵ブラウザでは利用ができず、設定変更により端末の標準ブラウザ(Edge/Safari)による認証連携を行うことで利用ができる可能性があります。
-
標準ブラウザを利用することにより、自動接続機能など一部のFRAの機能が利用できなくなるため、原則エージェント内蔵ブラウザの利用を推奨させて頂きます。
-
端末標準ブラウザ利用時における個々の機能制約については、FRA並びにトラスト・ログインではご案内できかねますので、ご利用に際してはお客様方での責任の下で、事前に実機確認を行ったうえでご利用ください。
(参考) 端末標準ブラウザによりdocomo business RINK IDaaSと認証連携を行う場合(非推奨)
サポートする認証方式 | Windows | Mac |
iOS/iPadOS |
Android |
パスワード認証 | 〇 | 〇 | ー | ー |
ワンタイムパスワード | 〇 | 〇 | ー | ー |
FIDOパスワードレス認証 |
〇 | 〇 | ー | ー |
クライアント認証 | 〇 | 〇 | ー | ー |
プッシュ通知認証 |
〇 | 〇 | ー | ー |
凡例) 〇:サポート対象 ー:サポート対象外
認証連携時に利用するブラウザについて
参考として、認証連携に利用するブラウザについて記します。
-
FRAエージェント内蔵ブラウザ:FRAエージェントの内部に組み込まれている独自のブラウザ。FRAのSAML認証連携時にのみ利用される。
- 端末標準ブラウザ:PCやモバイル等の各端末にてインストール済みの一般的なブラウザ(Microsoft Edge/Safari/Google Chrome等)。