※ SAML認証はAWS Client VPN の WEBブラウザ版、デスクトップ版アプリで利用できます。
※ AWSにて事前の設定が必要です。
※ 最新の設定手順は、AWS からご提供されているマニュアルをご確認くださいますようお願いいたします。
設定手順: |
1. トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
- 「アプリケーション名」、「アイコン」(任意)を登録します。
- 「IDプロバイダーの情報」の「メタデータをダウンロード」よりメタデータをダウンロードしておきます。
- 「サービスプロバイダの設定」を以下の通り設定します。
SAMLレスポンスに署名する チェックを入れる ネームID用値 メンバー > email エンティティID urn:amazon:webservices:clientvpn ネームIDフォーマット emailAddress サービスへのACS URL ①[HTTP-POST] http://127.0.0.1:35001
②[HTTP-POST] https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
※セルフポータルを利用する場合は設定する
※右側の「+」ボタンで行を追加できます - 「SAML属性の設定」の「カスタム属性を指定」→「SAML属性を追加」ボタンで属性を追加し、以下の通り設定します。
サービスプロバイダー属性 トラスト・ログイン(IdP)属性 属性指定名 属性種類 属性名 属性値 NameID Email NameID ↔︎ メンバー メンバー-メールアドレス FirstName Persisted
FirstName ↔︎ メンバー メンバー-名 LastName Persisted
LastName ↔︎ メンバー メンバー-姓 memberOf Persisted
memberOf ↔︎ グループ ドロップダウンから作成済みグループを選択して”+”ボタンで追加 - 「登録」ボタンで保存します。
2. AWS の設定
①AWS Consoleで AWS IAM IdPを作成する
-
AWS IAM設定画面を開き、「IDプロバイダ > プロバイダを追加」を押下します。
- 「プロバイダのタイプ」は「SAML」を選択、プロバイダ名に任意の名称を入力、メタデータドキュメントの「ファイルを選択」ボタンよりトラスト・ログインからダウンロードしたメタデータをアップロードします。「プロバイダを追加」で設定を追加します。
-
作成したIdP設定はプロバイダー一覧に追加されます。
②AWS ConsoleでVPCを作成する
※AWS側にすでに該当項目を設定完了した場合はスキップしてください。
-
VPC画面を開き、「VPC > VPCを作成」を押下します。
- 適宜情報を入力し、「VPCを作成」ボタンで設定を保存します。
③AWS Consoleでサブネットを作成する
※AWS側にすでに該当項目を設定完了した場合はスキップしてください。
- 「サブネット > サブネットを作成」を押下します。
- 適宜情報を入力し、「サブネットを作成」ボタンで設定を保存します。
④AWSでACMを作成する
※AWS側にすでに該当項目を設定完了した場合はスキップしてください。
発行方法はAWS公式サイトマニュアルご参照ください。
https://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/client-authentication.html
発行した証明書はAWS ACMに設定してください。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/import-ssl-certificate-to-iam/
⑤AWSでクライアントVPNエンドポイントを作成する
※AWS側にすでに該当項目を設定完了した場合はスキップしてください。
- 「クライアントVPNエンドポイント > クライアントVPNエンドポイントを作成」を押下します。
- 各項目を設定し、「 クライアントVPNエンドポイントの作成」を押下します。
クライアントIPv4 CIDR 必要に応じて設定
(VPCのCIDRとは別のアドレスレンジが必要)サーバー証明書ARN ACMで作成したサーバ証明書
認証オプション 「ユーザーベースの認証を使用」「統合認証」を選択
SAMLプロバイダーARN 手順①で作成したAWS IDPを選択する
セルフサービスSAMLプロバイダーARN 手順①で作成したAWS IDPを選択する
ClowdWatch Logs ロググループ/ログストリーム
あらかじめ作成しておいたロググループ/ログストリームを指定
VPC ID 接続させたいVPCを設定(空欄でも可、後から関連づけ可能)
セキュリティグループID デフォルトのセキュリティグループ
-
作成したクライアントVPNエンドポイントを選択し、関連付けタブで「関連付け」ボタン押下します。
-
手順②で作成したVPC、手順③で作成したサブネットをそれぞれ選択して「関連付け」ボタンを押下します。
-
認証タブで「受信の承諾」ボタンを押下します。
-
必要に応じて送信先ネット、アクセスを付与する対象などを設定し、「認証ルールの追加」ボタンを押下します。
-
ルートテーブルタブで、「ルートの作成」ボタンを押下します。
-
必要に応じてルート送信先とターゲットVPCサブネットを設定して、「ルートの作成」ボタンを押下します。
-
作成したクライアントVPNエンドポイントを選択し、「クライアント設定のダウンロード」ボタンを実行すると、「downloaded-client-config.ovpn」という設定ファイルがダウンロードされます。
⑥AWS VPN Clientでの利用
-
AWS公式のVPNクライアントソフトをAWS公式サイトのダウンロードページからダウンロードしインストールし起動します。ダウンロードした設定ファイル(downloaded-client-config.ovpn)をプロファイルとして設定します。
「ファイル > プロファイルを管理」を開きます。
「プロファイルを追加」からダウンロードした設定ファイルを選択しアップロードします。 -
接続ボタン押下した後、ブラウザが自動的に立ち上がり、トラスト・ログインのログイン画面へ遷移されます。
-
トラスト・ログインでログインを行うとClient VPNの接続が確立し始めます。
-
接続履歴はAWSのクライアントVPNエンドポイント画面の接続タブで確認することができます。
3. トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
- 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。