FortiGate のSAML認証の設定方法

※ FortiGate にて事前の設定が必要です。
※ 最新の設定手順は、FortiGate からご提供されているマニュアルをご確認くださいますようお願いいたします。(弊社はFortiOS v7.0.1 build0157 (GA)で検証しております。)

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「FortiGate (SAML) 」を選択します。
    02.png

  3. 「IDプロバイダーの情報」の「IDプロバイダーURL」「発行者・エンティティID」を控えておき、「証明書を取得」から証明書をダウンロードします。
    証明書はtxtファイルとなっていますので、拡張子を「.cert」に変更しておきます。
    03-1.png

  4. 「サービスプロバイダーの設定」の空欄3箇所に接続対象となるIP、ポートを「[IP]:[ポート]」の形式で入力します。
    04.png

  5. 「登録」ボタンで保存します。

FortiGate の設定

  1. FortiGate の管理画面を開き、「システム > 証明書 > インポート > リモート」からトラスト・ログインからダウンロードした証明書をアップロードします。
    証明書のファイル名を控えておいてください。
    05.png
    06.png
    07.png

  2. FortiGateコンソールからSAMLユーザーを作成します。
    トラスト・ログインから控えた「IDプロバイダーURL」「発行者・エンティティID」、FortiGateにアップロードした際の「証明書名」を使用します。

    通常ローカルユーザーを作る場合はGUIからconfig user localへ作成しますが、SAMLの場合、FortiGateの内部にデータベースは作成されないため、user samlの中にSSOに必要な設定をCLIで書き込むという作業が必要です。
    08.png

  3. FortiGateコンソールからグループを作り、2.で作成したユーザと紐づけします。
    09.png

  4. SSL-VPN設定を行います。

    リッスンするインターフェース

    port1

    必要に応じて設定する

    リッスンするポート

    4443

    必要に応じて設定する、本マニュアルでは4443としている

    サーバー証明書

    Fortinet_Factory

    必要に応じて設定する

    認証 / ポータルマッピング

    tl-saml-group

    CLIにて作成したユーザーグループ


    10.png

  5. ファイアウォールポリシーを設定します。

    着信インターフェース

    SSL-VPN tunnel interface (ssl.root)

     

    発信インターフェース

    port1

    必要に応じて設定する

    送信元(source

    tl-saml-group

    CLIにて作成したユーザーグループ

    宛先

    all  

    スケジュール

    always  

    サービス

    ALL  

    11.png

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「FortiGate (SAML) 」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「FortiGate (SAML) 」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

接続設定

Windowsの設定

  1. IEのインターネットオプション設定での「セキュリティ」タブ内の「信頼済みサイト」で
    FortiGateサーバのIPを信頼済みサイトに追加します。
    12.png

  2. IEのインターネットオプション設定での「詳細」タブ内の「TLS1.0を使用する」のチェックを外して保存します。
    13.png

FortiClient VPN利用

本例の説明は最新版のFortiClient Windowsエディションを利用しています。
https://www.fortinet.com/support/product-downloads#vpn

14.png

  1. 新規VPN接続で接続対象のIP・ポートを入力し、SSOと外部ブラウザによる認証を有効にします。
    15.png

  2. 「SAML Login」ボタンを押下すると、ブラウザが開きトラストログインの認証が求められます。トラスト・ログイン側でログイン後、FortiClient VPNSAML認証が始まり、成功するとFortiClient VPNの接続が確立します。
    16.png
    17.png

FortiGate のSAML認証の設定方法

※ FortiGate にて事前の設定が必要です。
※ 最新の設定手順は、FortiGate からご提供されているマニュアルをご確認くださいますようお願いいたします。(弊社はFortiOS v7.0.1 build0157 (GA)で検証しております。)

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「FortiGate (SAML) 」を選択します。
    02.png

  3. 「IDプロバイダーの情報」の「IDプロバイダーURL」「発行者・エンティティID」を控えておき、「証明書を取得」から証明書をダウンロードします。
    証明書はtxtファイルとなっていますので、拡張子を「.cert」に変更しておきます。
    03-1.png

  4. 「サービスプロバイダーの設定」の空欄3箇所に接続対象となるIP、ポートを「[IP]:[ポート]」の形式で入力します。
    04.png

  5. 「登録」ボタンで保存します。

FortiGate の設定

  1. FortiGate の管理画面を開き、「システム > 証明書 > インポート > リモート」からトラスト・ログインからダウンロードした証明書をアップロードします。
    証明書のファイル名を控えておいてください。
    05.png
    06.png
    07.png

  2. FortiGateコンソールからSAMLユーザーを作成します。
    トラスト・ログインから控えた「IDプロバイダーURL」「発行者・エンティティID」、FortiGateにアップロードした際の「証明書名」を使用します。

    通常ローカルユーザーを作る場合はGUIからconfig user localへ作成しますが、SAMLの場合、FortiGateの内部にデータベースは作成されないため、user samlの中にSSOに必要な設定をCLIで書き込むという作業が必要です。
    08.png

  3. FortiGateコンソールからグループを作り、2.で作成したユーザと紐づけします。
    09.png

  4. SSL-VPN設定を行います。

    リッスンするインターフェース

    port1

    必要に応じて設定する

    リッスンするポート

    4443

    必要に応じて設定する、本マニュアルでは4443としている

    サーバー証明書

    Fortinet_Factory

    必要に応じて設定する

    認証 / ポータルマッピング

    tl-saml-group

    CLIにて作成したユーザーグループ


    10.png

  5. ファイアウォールポリシーを設定します。

    着信インターフェース

    SSL-VPN tunnel interface (ssl.root)

     

    発信インターフェース

    port1

    必要に応じて設定する

    送信元(source

    tl-saml-group

    CLIにて作成したユーザーグループ

    宛先

    all  

    スケジュール

    always  

    サービス

    ALL  

    11.png

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「FortiGate (SAML) 」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「FortiGate (SAML) 」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

接続設定

Windowsの設定

  1. IEのインターネットオプション設定での「セキュリティ」タブ内の「信頼済みサイト」で
    FortiGateサーバのIPを信頼済みサイトに追加します。
    12.png

  2. IEのインターネットオプション設定での「詳細」タブ内の「TLS1.0を使用する」のチェックを外して保存します。
    13.png

FortiClient VPN利用

本例の説明は最新版のFortiClient Windowsエディションを利用しています。
https://www.fortinet.com/support/product-downloads#vpn

14.png

  1. 新規VPN接続で接続対象のIP・ポートを入力し、SSOと外部ブラウザによる認証を有効にします。
    15.png

  2. 「SAML Login」ボタンを押下すると、ブラウザが開きトラストログインの認証が求められます。トラスト・ログイン側でログイン後、FortiClient VPNSAML認証が始まり、成功するとFortiClient VPNの接続が確立します。
    16.png
    17.png