FSG (Flexible Secure Gateway)  のSAML認証の設定方法

 項目

内容 

事前確認

  • FSG (Flexible Secure Gateway) (以下FSG)の設定にて事前の設定が必要です。

  • 最新の設定手順は、FSG からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

 

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

全員有効(SAML認証のみとなる)

その他

備考

  • 連携するセルグループに含まれるセル数が5つを超える場合には、本項にて掲載の手順では認証連携ができません。 該当される場合にはサポート窓口にお問い合わせください。

 

目次:

トラスト・ログインの管理ページの設定

FSG の設定

トラスト・ログインの管理ページの設定(続き)

トラスト・ログインのユーザーの設定

トラスト・ログイン向け認証通信の認証除外/通信許可設定①【カスタムURLカテゴリ登録】

トラスト・ログイン向け認証通信の認証除外/通信許可設定②【セキュリティポリシールール追加】

トラスト・ログイン向け認証通信の認証除外/通信許可設定③【Captive Portal認証除外の設定追加】

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「FSG(Flexible Secure Gateway)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

ここで、FSG 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでFSGコンソールを開いてください。

 

FSG の設定

  1. FSGコンソールにログインし、操作対象のセルグループをドロップダウンリストから選択し、「Active Directory」を開きます。
    fsg01.png

  2. Microsoft Entra ID左の「v」をクリックして、Microsoft Entra IDに関する設定アコーディオンを展開します。
    fsg02.png

  3. 「SAML Identity Provider Config」の「新規追加」をクリックします。
    fsg03.png

  4. 「名前」にSAML Identity Provider Configの任意の名前を設定し、「フェデレーションメタデータXMLアップロード」にトラスト・ログインから取得したメタデータをアップロードします。編集が完了したら「確認」をクリックします。
    fsg04.png

  5. 内容を確認し、「実行」をクリックします。
    fsg05.png

  6. 申込完了のメッセージを確認し、「OK」をクリックします。
    fsg06.png

  7. 最新の情報を表示する際は、「更新」ボタンをクリックしてください。
    fsg07.png

  8. 左メニューの「コンフィグ反映」ボタンをクリックしてセルに設定を反映してください。
    コンフィグ反映手順

  9. 「SAML Identity Provider Config」の右にある「識別子/応答URL参照」ボタンをクリックします。
    fsg08.png

  10. 各セルのIPアドレスを控えておきます。
    fsg09.png

 

再び、トラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」の各項目を以下のとおり設定します。
    ログインURL FSGコンソールで確認した識別子/応答URL中の任意のセルのIPアドレス
    エンティティID FSGコンソールで確認した識別子/応答URL中の任意のセルのIPアドレス

    ログインURLとエンティティIDに入力する値は同じ値(同一のセルのIPアドレス)としてください
    サービスへのACS URL
    FSGコンソールで確認した応答URL中の全てのセルのIPアドレス

    ※ セルを冗長している場合は、セルグループ内の全てのセルのIPアドレスを各ウィンドウに一つずつ入力してください

    04.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「FSG(Flexible Secure Gateway)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「FSG(Flexible Secure Gateway)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

トラスト・ログイン向け認証通信の認証除外/通信許可設定①
【カスタムURLカテゴリ登録】

トラスト・ログインでは連携時に認証に用いる通信に対して、 Captive Portalでの認証除外設定やUTMでの通信許可設定が必要となります。

本項では各種設定時に通信先として指定するトラスト・ログインのURLをカスタムURLカテゴリとして登録します。

FSGコンソールから、トラスト・ログインの認証通信の宛先となるURLをカテゴリ登録します。
設定手順は カスタムURLカテゴリ設定をする を参照してください。
ご利用状況に応じて②③のURLリストに登録が必要です。

名前
識別可能な任意の名前
URLリスト①
必須
・portal.trustlogin.com
・tl-prod-cluster-images.s3.*.amazonaws.com
URLリスト②
AD連携利用する場合に追加が必要(オプション)
・a-mq-ad.services.sku.id:5671
・b-mq-ad.services.sku.id:5671
URLリスト③
クライアント認証を利用する場合に追加が必要(オプション)
・cert.sku.id
・cert.trustlogin.com
・ocsp.globalsign.com
・crl.globalsign.com
・secure.globalsign.com


fsg10.png

 

トラスト・ログイン向け認証通信の認証除外/通信許可設定②
【セキュリティポリシールール追加】

本項ではトラスト・ログインの認証連携時の通信をUTMにて明示的に許可するセキュリティポリシーを追加します。

下記以外のパラメータについては、任意のパラメータで指定してください。

FSGコンソールから、 UTM機能(セキュリティポリシールール)の設定をする の手順に従って、下記のトラスト・ログインの認証通信を許可するセキュリティポリシーを追加します。

名前 識別可能な任意の名前
ログ ログあり
送信元IPアドレス any
宛先IPアドレス any
宛先TCPポート any
カスタムURLカテゴリ/カスタムURLカテゴリリスト 前項 で作成したURLカテゴリ
アプリケーションリスト any
アクション Allow

 

  • セキュリティポリシールールは、UTMの仕様によりルールにて許可していない通信は原則として全て許可されません。
  • トラスト・ログインによる認証成功後に許可する必要のある外部向け通信につきましては、本項で設定頂いたルールの下段に配置する形で許可ルールを追加してください。

fsg11.png


セキュリティポリシーの追加が終わったら、FSGコンソールの「優先度変更」をクリックして、作成済みポリシーを最上段に配置してください。fsg12.png


トラスト・ログイン向け認証通信の認証除外/通信許可設定③
【Captive Portal認証除外の設定追加】

本項ではトラスト・ログインの認証連携時の通信をCaptive Portalの認証判定から明示的に除外する設定を追加します。

FSGコンソールから、 Captive Portal認証除外の設定をする の手順に従って、下記のトラスト・ログインの認証通信をCaptive Portal認証設定に追加します。

 

名前 識別可能な任意の名前
送信元IPアドレス any
宛先IPアドレス any
宛先TCPポート any
カスタムURLカテゴリ/カスタムURLカテゴリリスト 前々項 で作成したURLカテゴリ


fsg13.png

FSG (Flexible Secure Gateway)  のSAML認証の設定方法

 項目

内容 

事前確認

  • FSG (Flexible Secure Gateway) (以下FSG)の設定にて事前の設定が必要です。

  • 最新の設定手順は、FSG からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

 

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

SAML認証適用範囲

全員有効(SAML認証のみとなる)

その他

備考

  • 連携するセルグループに含まれるセル数が5つを超える場合には、本項にて掲載の手順では認証連携ができません。 該当される場合にはサポート窓口にお問い合わせください。

 

目次:

トラスト・ログインの管理ページの設定

FSG の設定

トラスト・ログインの管理ページの設定(続き)

トラスト・ログインのユーザーの設定

トラスト・ログイン向け認証通信の認証除外/通信許可設定①【カスタムURLカテゴリ登録】

トラスト・ログイン向け認証通信の認証除外/通信許可設定②【セキュリティポリシールール追加】

トラスト・ログイン向け認証通信の認証除外/通信許可設定③【Captive Portal認証除外の設定追加】

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「FSG(Flexible Secure Gateway)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
    03.png

ここで、FSG 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでFSGコンソールを開いてください。

 

FSG の設定

  1. FSGコンソールにログインし、操作対象のセルグループをドロップダウンリストから選択し、「Active Directory」を開きます。
    fsg01.png

  2. Microsoft Entra ID左の「v」をクリックして、Microsoft Entra IDに関する設定アコーディオンを展開します。
    fsg02.png

  3. 「SAML Identity Provider Config」の「新規追加」をクリックします。
    fsg03.png

  4. 「名前」にSAML Identity Provider Configの任意の名前を設定し、「フェデレーションメタデータXMLアップロード」にトラスト・ログインから取得したメタデータをアップロードします。編集が完了したら「確認」をクリックします。
    fsg04.png

  5. 内容を確認し、「実行」をクリックします。
    fsg05.png

  6. 申込完了のメッセージを確認し、「OK」をクリックします。
    fsg06.png

  7. 最新の情報を表示する際は、「更新」ボタンをクリックしてください。
    fsg07.png

  8. 左メニューの「コンフィグ反映」ボタンをクリックしてセルに設定を反映してください。
    コンフィグ反映手順

  9. 「SAML Identity Provider Config」の右にある「識別子/応答URL参照」ボタンをクリックします。
    fsg08.png

  10. 各セルのIPアドレスを控えておきます。
    fsg09.png

 

再び、トラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」の各項目を以下のとおり設定します。
    ログインURL FSGコンソールで確認した識別子/応答URL中の任意のセルのIPアドレス
    エンティティID FSGコンソールで確認した識別子/応答URL中の任意のセルのIPアドレス

    ログインURLとエンティティIDに入力する値は同じ値(同一のセルのIPアドレス)としてください
    サービスへのACS URL
    FSGコンソールで確認した応答URL中の全てのセルのIPアドレス

    ※ セルを冗長している場合は、セルグループ内の全てのセルのIPアドレスを各ウィンドウに一つずつ入力してください

    04.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「FSG(Flexible Secure Gateway)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「FSG(Flexible Secure Gateway)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

トラスト・ログイン向け認証通信の認証除外/通信許可設定①
【カスタムURLカテゴリ登録】

トラスト・ログインでは連携時に認証に用いる通信に対して、 Captive Portalでの認証除外設定やUTMでの通信許可設定が必要となります。

本項では各種設定時に通信先として指定するトラスト・ログインのURLをカスタムURLカテゴリとして登録します。

FSGコンソールから、トラスト・ログインの認証通信の宛先となるURLをカテゴリ登録します。
設定手順は カスタムURLカテゴリ設定をする を参照してください。
ご利用状況に応じて②③のURLリストに登録が必要です。

名前
識別可能な任意の名前
URLリスト①
必須
・portal.trustlogin.com
・tl-prod-cluster-images.s3.*.amazonaws.com
URLリスト②
AD連携利用する場合に追加が必要(オプション)
・a-mq-ad.services.sku.id:5671
・b-mq-ad.services.sku.id:5671
URLリスト③
クライアント認証を利用する場合に追加が必要(オプション)
・cert.sku.id
・cert.trustlogin.com
・ocsp.globalsign.com
・crl.globalsign.com
・secure.globalsign.com


fsg10.png

 

トラスト・ログイン向け認証通信の認証除外/通信許可設定②
【セキュリティポリシールール追加】

本項ではトラスト・ログインの認証連携時の通信をUTMにて明示的に許可するセキュリティポリシーを追加します。

下記以外のパラメータについては、任意のパラメータで指定してください。

FSGコンソールから、 UTM機能(セキュリティポリシールール)の設定をする の手順に従って、下記のトラスト・ログインの認証通信を許可するセキュリティポリシーを追加します。

名前 識別可能な任意の名前
ログ ログあり
送信元IPアドレス any
宛先IPアドレス any
宛先TCPポート any
カスタムURLカテゴリ/カスタムURLカテゴリリスト 前項 で作成したURLカテゴリ
アプリケーションリスト any
アクション Allow

 

  • セキュリティポリシールールは、UTMの仕様によりルールにて許可していない通信は原則として全て許可されません。
  • トラスト・ログインによる認証成功後に許可する必要のある外部向け通信につきましては、本項で設定頂いたルールの下段に配置する形で許可ルールを追加してください。

fsg11.png


セキュリティポリシーの追加が終わったら、FSGコンソールの「優先度変更」をクリックして、作成済みポリシーを最上段に配置してください。fsg12.png


トラスト・ログイン向け認証通信の認証除外/通信許可設定③
【Captive Portal認証除外の設定追加】

本項ではトラスト・ログインの認証連携時の通信をCaptive Portalの認証判定から明示的に除外する設定を追加します。

FSGコンソールから、 Captive Portal認証除外の設定をする の手順に従って、下記のトラスト・ログインの認証通信をCaptive Portal認証設定に追加します。

 

名前 識別可能な任意の名前
送信元IPアドレス any
宛先IPアドレス any
宛先TCPポート any
カスタムURLカテゴリ/カスタムURLカテゴリリスト 前々項 で作成したURLカテゴリ


fsg13.png