FRA(Flexible Remote Access)  のSAML認証の設定方法

 項目

内容 

事前確認

  • FRA(Flexible Remote Access) (以下FRA)の設定にて事前の設定が必要です。

  • FRA にトラスト・ログインと同じメールアドレスでアカウントを作成しておく必要があります。

  • 最新の設定手順は、FRA からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

 

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況
(※)

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

全員有効(SAML認証のみとなる)

その他

備考

  • IDF認証連携を利用する場合は0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で異なる設定にしてください。
  • 設定変更後、0系/1系で必ずコミットを実施してください。
  • 設定変更後、FRAクライアントを再接続すると設定が反映されます。
  • コミット実施する際は、片系で実施し接続可能な事を確認後、もう片系のコミットを実施頂くことを推奨します。
  • 東西冗長を申し込んでいて、かつ、東西エリアでそれぞれ別のポータル用メタデータをFRAに登録する必要がある場合、エリア障害発生時にDNS切替による自動切替ができません。
  • 各サーバープロファイルに適用する認証プロファイルの関連付けに誤りがあると、正しく動作しないためご注意ください。

(※) デバイス別動作検証状況の詳細につきましては、【参考】FRA のトラスト・ログイン認証連携時のサポート環境について の項目もご参照ください。

目次:

トラスト・ログインの管理ページの設定

トラスト・ログインのユーザーの設定

FRA の設定

【参考】FRAへの接続確認

【参考】サインインしているユーザー名の確認

【参考】FRA のトラスト・ログイン認証連携時のサポート環境について

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「FRA(Flexible Remote Access)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

  4. Fsecコンソール上の「構成情報」から「識別子」「応答URL」「サインオンURL」情報を確認し、FRAグループごとに同じ値となる固有のドメイン情報を空欄箇所に入力します。

    FRAグループ固有のドメイン情報はポータルや各ゲートウェイのURLのうち下記の箇所の情報となります。

    認証ポータル https://**-***-portal.fra.ntt.com の「https://」と「-portal.fra.ntt.com」に挟まれた「**-***」の部分
    ゲートウェイ(0) https://**-***-gw0.fra.ntt.com の「https//」と「-gw0.fra.ntt.com」に挟まれた「**-***」の部分
    ゲートウェイ(1) https://**-***-gw1.fra.ntt.com の「https://」と「-gw1.fra.ntt.com」に挟まれた「**-***」の部分


    確認方法は こちら をご参照ください。


    04.png

  5. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「FRA(Flexible Remote Access)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「FRA(Flexible Remote Access)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

FRA の設定

①Fsecコンソール上の設定

  1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスしま
    す。

  2. ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。
    ②「外部認証連携(LDAP・SAML)」をクリックします。
    30.png

  3. 「新規追加」ボタンを押下します。
    31.png

  4. 「SAML認証連携用サーバープロファイル新規追加」画面で必要な情報を入力します。入力が完了したら「確認」ボタンを押下します。
    サーバープロファイル名 サーバープロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。
    説明 本設定に任意の説明文を登録することができます。
    メタデータファイル作成時に指定したFQDN 本手順では、1つのメタデータファイルに複数のFQDNを紐づけるため、対象のFQDNをすべて選択してください。
    メタデータファイル
    「ファイル追加」ボタンをクリックし、トラスト・ログインから取得したメタデータファイルを追加してください。

    32.png

  5. 入力内容の確認を行い、「実行」ボタンをクリックします。
    33.png

  6. 「OK」ボタンを押下します。
    34.png

  7. 「外部認証連携(LDAP・SAML)」画面でSAML認証連携用サーバープロファイルが作成されたことを確認します。
    35.png

  8. 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。

※ トラスト・ログインで作成したメタデータファイル単位にSAML認証連携用サーバープロファイルの作成が必要です。

 

②FRAポータル上の設定

  1. FRAポータルにアクセスし、「Device > SAMLアイデンティティプロバイダ」を開き、サーバープロファイルが追加されていることを確認します。
    05.png

  2. 「認証プロファイル > 追加」をクリックします。
    06.png

  3. 認証プロファイルの作成画面が表示されます。「認証」の項目を以下のとおり設定します。
    名前 プロファイルの識別に使用する任意の名前を入力
    タイプ SAML
    IdPサーバープロファイル 追加したSAML認証連携用のサーバープロファイルを選択

    07.png

    08.png

  4. 「詳細」の項目を開き、「許可リスト > 追加」をクリックし、プルダウンから「all」を選択します。
    09.png

  5. 「OK」をクリックします。
    10.png

  6. 認証プロファイルが追加されたことを確認し、「NETWORK」をクリックします。
    12.png

  7. 「ポータル > GP-portal」をクリックします。11.png

  8. 「認証 > 追加」をクリックします。
    13.png

  9. クライアント認証の追加画面が表示されます。各項目を以下のとおり設定します。
    名前 クライアント認証設定の識別に使用する任意の名前
    認証プロファイル 作成済みの認証プロファイルを選択
    ユーザー資格情報またはクライアント証明書を使用した認証を許可 YES

    14.png

  10. 「OK」をクリックします。
    16.png

  11. 追加した認証設定を一番上に配置します。作成したクライアント認証にチェックを入れ、「上へ」をクリックして一番上まで移動させます。
    17.png

  12. 「OK」をクリックします。
    18.png

  13. 「ゲートウェイ > GP-GW」をクリックします。
    19.png

  14. 「認証 > 追加」をクリックします。
    20.png

  15. クライアント認証の追加画面が表示されます。各項目を以下のとおり設定します。
    名前 クライアント認証設定の識別に使用する任意の名前
    認証プロファイル 作成済みの認証プロファイルを選択
    ユーザー資格情報またはクライアント証明書を使用した認証を許可 YES

    21.png

  16. 「OK」をクリックします。
    22.png

  17. 追加した認証設定を一番上に配置します。作成したクライアント認証にチェックを入れ、「上へ」をクリックして一番上まで移動させます。
    23.png

  18. 「OK」をクリックします。
    24.png

  19. 設定内容をコミットし、正常に反映されたことを確認します。
    25.png

【参考】FRAへの接続確認

  1. FRAエージェントの画面の右上の三本線をクリックし、「設定」を選択します。
    26.png

  2. 「サインアウト」> ユーザーの認証情報を削除の「OK」をクリックして一度接続を切断します。
    再度「接続」をクリックします。
    27.png

  3. トラスト・ログインの認証画面が表示されますので、認証を行います。

  4. 認証後、接続が完了となります。
    28.png

 

【参考】サインインしているユーザー名の確認

  1. FRAエージェントの画面の右上の三本線をクリックし、「設定」を選択します。
    26.png

  2. 左下にサインイン中のユーザー名が表示されます。
    29.png

【参考】FRA のトラスト・ログイン認証連携時のサポート環境について

ここではFRA にてトラスト・ログインと認証連携する際の端末や認証方式などのサポート環境を記します。
認証連携はデフォルトではエージェント内蔵のブラウザにより行われます。

FRAエージェントの内蔵ブラウザによりトラスト・ログインと認証連携を行う場合(デフォルト/推奨)

サポートする認証方式 Windows Mac

iOS/iPadOS

Android
パスワード認証
ワンタイムパスワード

FIDOパスワードレス認証

ー ※1 ー ※1
クライアント認証

プッシュ通知認証

凡例) 〇:サポート対象 ー:サポート対象外
※1 現時点(2024/12)では未対応ですが、今後対応予定となります。

  • 一部の認証方式については内蔵ブラウザでは利用ができず、設定変更により端末の標準ブラウザ(Edge/Safari)による認証連携を行うことで利用ができる可能性があります。
  • 標準ブラウザを利用することにより、自動接続機能など一部のFRAの機能が利用できなくなるため、原則エージェント内蔵ブラウザの利用を推奨させて頂きます。
  • 端末標準ブラウザ利用時における個々の機能制約については、FRA並びにトラスト・ログインではご案内できかねますので、ご利用に際してはお客様方での責任の下で、事前に実機確認を行ったうえでご利用ください。

(参考) 端末標準ブラウザによりdocomo business RINK IDaaSと認証連携を行う場合(非推奨)

サポートする認証方式 Windows Mac

iOS/iPadOS

Android
パスワード認証
ワンタイムパスワード

FIDOパスワードレス認証

クライアント認証

プッシュ通知認証

凡例) 〇:サポート対象 ー:サポート対象外



認証連携時に利用するブラウザについて

参考として、認証連携に利用するブラウザについて記します。

  • FRAエージェント内蔵ブラウザ:FRAエージェントの内部に組み込まれている独自のブラウザ。FRASAML認証連携時にのみ利用される。

  • 端末標準ブラウザ:PCやモバイル等の各端末にてインストール済みの一般的なブラウザ(Microsoft Edge/Safari/Google Chrome)

 

 

FRA(Flexible Remote Access)  のSAML認証の設定方法

 項目

内容 

事前確認

  • FRA(Flexible Remote Access) (以下FRA)の設定にて事前の設定が必要です。

  • FRA にトラスト・ログインと同じメールアドレスでアカウントを作成しておく必要があります。

  • 最新の設定手順は、FRA からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

 

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況
(※)

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

全員有効(SAML認証のみとなる)

その他

備考

  • IDF認証連携を利用する場合は0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で異なる設定にしてください。
  • 設定変更後、0系/1系で必ずコミットを実施してください。
  • 設定変更後、FRAクライアントを再接続すると設定が反映されます。
  • コミット実施する際は、片系で実施し接続可能な事を確認後、もう片系のコミットを実施頂くことを推奨します。
  • 東西冗長を申し込んでいて、かつ、東西エリアでそれぞれ別のポータル用メタデータをFRAに登録する必要がある場合、エリア障害発生時にDNS切替による自動切替ができません。
  • 各サーバープロファイルに適用する認証プロファイルの関連付けに誤りがあると、正しく動作しないためご注意ください。

(※) デバイス別動作検証状況の詳細につきましては、【参考】FRA のトラスト・ログイン認証連携時のサポート環境について の項目もご参照ください。

目次:

トラスト・ログインの管理ページの設定

トラスト・ログインのユーザーの設定

FRA の設定

【参考】FRAへの接続確認

【参考】サインインしているユーザー名の確認

【参考】FRA のトラスト・ログイン認証連携時のサポート環境について

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「FRA(Flexible Remote Access)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

  4. Fsecコンソール上の「構成情報」から「識別子」「応答URL」「サインオンURL」情報を確認し、FRAグループごとに同じ値となる固有のドメイン情報を空欄箇所に入力します。

    FRAグループ固有のドメイン情報はポータルや各ゲートウェイのURLのうち下記の箇所の情報となります。

    認証ポータル https://**-***-portal.fra.ntt.com の「https://」と「-portal.fra.ntt.com」に挟まれた「**-***」の部分
    ゲートウェイ(0) https://**-***-gw0.fra.ntt.com の「https//」と「-gw0.fra.ntt.com」に挟まれた「**-***」の部分
    ゲートウェイ(1) https://**-***-gw1.fra.ntt.com の「https://」と「-gw1.fra.ntt.com」に挟まれた「**-***」の部分


    確認方法は こちら をご参照ください。


    04.png

  5. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「FRA(Flexible Remote Access)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「FRA(Flexible Remote Access)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

FRA の設定

①Fsecコンソール上の設定

  1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスしま
    す。

  2. ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。
    ②「外部認証連携(LDAP・SAML)」をクリックします。
    30.png

  3. 「新規追加」ボタンを押下します。
    31.png

  4. 「SAML認証連携用サーバープロファイル新規追加」画面で必要な情報を入力します。入力が完了したら「確認」ボタンを押下します。
    サーバープロファイル名 サーバープロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。
    説明 本設定に任意の説明文を登録することができます。
    メタデータファイル作成時に指定したFQDN 本手順では、1つのメタデータファイルに複数のFQDNを紐づけるため、対象のFQDNをすべて選択してください。
    メタデータファイル
    「ファイル追加」ボタンをクリックし、トラスト・ログインから取得したメタデータファイルを追加してください。

    32.png

  5. 入力内容の確認を行い、「実行」ボタンをクリックします。
    33.png

  6. 「OK」ボタンを押下します。
    34.png

  7. 「外部認証連携(LDAP・SAML)」画面でSAML認証連携用サーバープロファイルが作成されたことを確認します。
    35.png

  8. 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。

※ トラスト・ログインで作成したメタデータファイル単位にSAML認証連携用サーバープロファイルの作成が必要です。

 

②FRAポータル上の設定

  1. FRAポータルにアクセスし、「Device > SAMLアイデンティティプロバイダ」を開き、サーバープロファイルが追加されていることを確認します。
    05.png

  2. 「認証プロファイル > 追加」をクリックします。
    06.png

  3. 認証プロファイルの作成画面が表示されます。「認証」の項目を以下のとおり設定します。
    名前 プロファイルの識別に使用する任意の名前を入力
    タイプ SAML
    IdPサーバープロファイル 追加したSAML認証連携用のサーバープロファイルを選択

    07.png

    08.png

  4. 「詳細」の項目を開き、「許可リスト > 追加」をクリックし、プルダウンから「all」を選択します。
    09.png

  5. 「OK」をクリックします。
    10.png

  6. 認証プロファイルが追加されたことを確認し、「NETWORK」をクリックします。
    12.png

  7. 「ポータル > GP-portal」をクリックします。11.png

  8. 「認証 > 追加」をクリックします。
    13.png

  9. クライアント認証の追加画面が表示されます。各項目を以下のとおり設定します。
    名前 クライアント認証設定の識別に使用する任意の名前
    認証プロファイル 作成済みの認証プロファイルを選択
    ユーザー資格情報またはクライアント証明書を使用した認証を許可 YES

    14.png

  10. 「OK」をクリックします。
    16.png

  11. 追加した認証設定を一番上に配置します。作成したクライアント認証にチェックを入れ、「上へ」をクリックして一番上まで移動させます。
    17.png

  12. 「OK」をクリックします。
    18.png

  13. 「ゲートウェイ > GP-GW」をクリックします。
    19.png

  14. 「認証 > 追加」をクリックします。
    20.png

  15. クライアント認証の追加画面が表示されます。各項目を以下のとおり設定します。
    名前 クライアント認証設定の識別に使用する任意の名前
    認証プロファイル 作成済みの認証プロファイルを選択
    ユーザー資格情報またはクライアント証明書を使用した認証を許可 YES

    21.png

  16. 「OK」をクリックします。
    22.png

  17. 追加した認証設定を一番上に配置します。作成したクライアント認証にチェックを入れ、「上へ」をクリックして一番上まで移動させます。
    23.png

  18. 「OK」をクリックします。
    24.png

  19. 設定内容をコミットし、正常に反映されたことを確認します。
    25.png

【参考】FRAへの接続確認

  1. FRAエージェントの画面の右上の三本線をクリックし、「設定」を選択します。
    26.png

  2. 「サインアウト」> ユーザーの認証情報を削除の「OK」をクリックして一度接続を切断します。
    再度「接続」をクリックします。
    27.png

  3. トラスト・ログインの認証画面が表示されますので、認証を行います。

  4. 認証後、接続が完了となります。
    28.png

 

【参考】サインインしているユーザー名の確認

  1. FRAエージェントの画面の右上の三本線をクリックし、「設定」を選択します。
    26.png

  2. 左下にサインイン中のユーザー名が表示されます。
    29.png

【参考】FRA のトラスト・ログイン認証連携時のサポート環境について

ここではFRA にてトラスト・ログインと認証連携する際の端末や認証方式などのサポート環境を記します。
認証連携はデフォルトではエージェント内蔵のブラウザにより行われます。

FRAエージェントの内蔵ブラウザによりトラスト・ログインと認証連携を行う場合(デフォルト/推奨)

サポートする認証方式 Windows Mac

iOS/iPadOS

Android
パスワード認証
ワンタイムパスワード

FIDOパスワードレス認証

ー ※1 ー ※1
クライアント認証

プッシュ通知認証

凡例) 〇:サポート対象 ー:サポート対象外
※1 現時点(2024/12)では未対応ですが、今後対応予定となります。

  • 一部の認証方式については内蔵ブラウザでは利用ができず、設定変更により端末の標準ブラウザ(Edge/Safari)による認証連携を行うことで利用ができる可能性があります。
  • 標準ブラウザを利用することにより、自動接続機能など一部のFRAの機能が利用できなくなるため、原則エージェント内蔵ブラウザの利用を推奨させて頂きます。
  • 端末標準ブラウザ利用時における個々の機能制約については、FRA並びにトラスト・ログインではご案内できかねますので、ご利用に際してはお客様方での責任の下で、事前に実機確認を行ったうえでご利用ください。

(参考) 端末標準ブラウザによりdocomo business RINK IDaaSと認証連携を行う場合(非推奨)

サポートする認証方式 Windows Mac

iOS/iPadOS

Android
パスワード認証
ワンタイムパスワード

FIDOパスワードレス認証

クライアント認証

プッシュ通知認証

凡例) 〇:サポート対象 ー:サポート対象外



認証連携時に利用するブラウザについて

参考として、認証連携に利用するブラウザについて記します。

  • FRAエージェント内蔵ブラウザ:FRAエージェントの内部に組み込まれている独自のブラウザ。FRASAML認証連携時にのみ利用される。

  • 端末標準ブラウザ:PCやモバイル等の各端末にてインストール済みの一般的なブラウザ(Microsoft Edge/Safari/Google Chrome)