項目 |
内容 |
|
---|---|---|
事前確認 |
|
|
ネームID |
〇 |
メールアドレス |
カスタム属性 ※ カスタム属性の設定方法はこちら |
||
SP側の設定 |
〇 |
管理者様にて設定 |
SPへ設定を依頼 |
||
プロビジョニング |
APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可) |
|
SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可) |
||
〇 |
なし(各システムでアカウント作成) |
|
アクセス方法 |
〇 |
SP-Initiated SSO |
ー |
IdP-Initiated SSO |
|
デバイス別動作検証状況 |
〇 |
PC - ブラウザ |
ー |
PC - デスクトップアプリ |
|
ー |
iOS - 標準ブラウザ (Safari) |
|
ー |
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
iOS - ネイティブアプリ |
|
ー |
Android - 標準ブラウザ (Chrome) |
|
ー |
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
Android - ネイティブアプリ |
|
SAML認証適用範囲 |
〇 |
全員有効(SAML認証のみとなる) |
ー |
その他 |
|
備考 |
|
目次: トラスト・ログイン向け認証通信の認証除外/通信許可設定①【カスタムURLカテゴリ登録】 |
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
- 「企業アプリ登録」画面で検索し、「FSG(Flexible Secure Gateway)」を選択します。
-
「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。
ここで、FSG 側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでFSGコンソールを開いてください。
FSG の設定
- FSGコンソールにログインし、操作対象のセルグループをドロップダウンリストから選択し、「Active Directory」を開きます。
-
Microsoft Entra ID左の「v」をクリックして、Microsoft Entra IDに関する設定アコーディオンを展開します。
-
「SAML Identity Provider Config」の「新規追加」をクリックします。
- 「名前」にSAML Identity Provider Configの任意の名前を設定し、「フェデレーションメタデータXMLアップロード」にトラスト・ログインから取得したメタデータをアップロードします。編集が完了したら「確認」をクリックします。
- 内容を確認し、「実行」をクリックします。
- 申込完了のメッセージを確認し、「OK」をクリックします。
-
最新の情報を表示する際は、「更新」ボタンをクリックしてください。
- 左メニューの「コンフィグ反映」ボタンをクリックしてセルに設定を反映してください。
コンフィグ反映手順
- 「SAML Identity Provider Config」の右にある「識別子/応答URL参照」ボタンをクリックします。
- 各セルのIPアドレスを控えておきます。
再び、トラスト・ログインの管理ページに戻ります。
トラスト・ログインの管理ページの設定(続き)
- 「サービスプロバイダーの設定」の各項目を以下のとおり設定します。
ログインURL FSGコンソールで確認した識別子/応答URL中の任意のセルのIPアドレス エンティティID FSGコンソールで確認した識別子/応答URL中の任意のセルのIPアドレス
※ ログインURLとエンティティIDに入力する値は同じ値(同一のセルのIPアドレス)としてくださいサービスへのACS URL FSGコンソールで確認した応答URL中の全てのセルのIPアドレス
※ セルを冗長している場合は、セルグループ内の全てのセルのIPアドレスを各ウィンドウに一つずつ入力してください
- 「登録」ボタンで保存します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で「FSG(Flexible Secure Gateway)」を選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで「FSG(Flexible Secure Gateway)」アプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
トラスト・ログイン向け認証通信の認証除外/通信許可設定①
【カスタムURLカテゴリ登録】
トラスト・ログインでは連携時に認証に用いる通信に対して、 Captive Portalでの認証除外設定やUTMでの通信許可設定が必要となります。
本項では各種設定時に通信先として指定するトラスト・ログインのURLをカスタムURLカテゴリとして登録します。
FSGコンソールから、トラスト・ログインの認証通信の宛先となるURLをカテゴリ登録します。
設定手順は カスタムURLカテゴリ設定をする を参照してください。
ご利用状況に応じて②③のURLリストに登録が必要です。
名前 |
識別可能な任意の名前
|
URLリスト① |
必須
・portal.trustlogin.com
・tl-prod-cluster-images.s3.*.amazonaws.com
|
URLリスト② |
AD連携利用する場合に追加が必要(オプション)
・a-mq-ad.services.sku.id:5671
・b-mq-ad.services.sku.id:5671
|
URLリスト③ |
クライアント認証を利用する場合に追加が必要(オプション)
・cert.sku.id
・cert.trustlogin.com
・ocsp.globalsign.com
・crl.globalsign.com
・secure.globalsign.com
|
トラスト・ログイン向け認証通信の認証除外/通信許可設定②
【セキュリティポリシールール追加】
本項ではトラスト・ログインの認証連携時の通信をUTMにて明示的に許可するセキュリティポリシーを追加します。
下記以外のパラメータについては、任意のパラメータで指定してください。
FSGコンソールから、 UTM機能(セキュリティポリシールール)の設定をする の手順に従って、下記のトラスト・ログインの認証通信を許可するセキュリティポリシーを追加します。
名前 | 識別可能な任意の名前 |
ログ | ログあり |
送信元IPアドレス | any |
宛先IPアドレス | any |
宛先TCPポート | any |
カスタムURLカテゴリ/カスタムURLカテゴリリスト | 前項 で作成したURLカテゴリ |
アプリケーションリスト | any |
アクション | Allow |
- セキュリティポリシールールは、UTMの仕様によりルールにて許可していない通信は原則として全て許可されません。
- トラスト・ログインによる認証成功後に許可する必要のある外部向け通信につきましては、本項で設定頂いたルールの下段に配置する形で許可ルールを追加してください。
セキュリティポリシーの追加が終わったら、FSGコンソールの「優先度変更」をクリックして、作成済みポリシーを最上段に配置してください。
トラスト・ログイン向け認証通信の認証除外/通信許可設定③
【Captive Portal認証除外の設定追加】
本項ではトラスト・ログインの認証連携時の通信をCaptive Portalの認証判定から明示的に除外する設定を追加します。
FSGコンソールから、 Captive Portal認証除外の設定をする の手順に従って、下記のトラスト・ログインの認証通信をCaptive Portal認証設定に追加します。
名前 | 識別可能な任意の名前 |
送信元IPアドレス | any |
宛先IPアドレス | any |
宛先TCPポート | any |
カスタムURLカテゴリ/カスタムURLカテゴリリスト | 前々項 で作成したURLカテゴリ |