項目 |
内容 |
|
|---|---|---|
事前確認 |
|
|
| ネームID | 〇 | メールアドレス |
| カスタム属性 ※ カスタム属性の設定方法はこちら | ||
| SP側の設定 | 〇 | 管理者様にて設定 |
| SPへ設定を依頼 | ||
| プロビジョニング | APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可) | |
| 〇 | SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可) | |
| なし(各システムでアカウント作成) | ||
| アクセス方法 | 〇 | SP-Initiated SSO |
| 〇 | IdP-Initiated SSO | |
| デバイス別動作検証状況 | 〇 | PC - ブラウザ |
| 〇 | PC - デスクトップアプリ | |
| 〇 | iOS - 標準ブラウザ (Safari) | |
| 〇 | iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ | |
| 〇 | iOS - ネイティブアプリ | |
| 〇 | Android - 標準ブラウザ (Chrome) | |
| 〇 | Android - トラスト・ログイン モバイルアプリ 内部ブラウザ | |
| 〇 |
Android - ネイティブアプリ |
|
| SAML認証適用範囲 | ー | 全員有効(SAML認証のみとなる) |
| 〇 | その他:全員有効(SAML認証とパスワード認証併用選択可能) | |
備考 |
||
事前準備
※ Harmony SASEのグループとトラスト・ログインのグループの同期が不要な場合はこちらの設定は不要です。次の項目にお進みください。
Harmony SASE のグループにマッピングするグループをトラスト・ログインに作成し、メンバーを割り当てます。この時Harmony SASE 上のグループ名とトラスト・ログイン上のグループ名は一致している必要があります。
グループの作成方法、メンバーの割り当て方法は以下のページをご参照ください。
グループを登録する
【設定例】
Harmony SASE 上のグループ名が「test1」「test2」である場合、トラスト・ログインにも同名の「test1」「test2」のグループを作成し、メンバーを割り当てます。
- Harmony SASE のグループ設定
- トラスト・ログインのグループ設定
これによりトラスト・ログインで「test1」「test2」のグループに属するユーザーが Harmony SASE にSAML SSOを行うと、自動的にHarmony SASE で「test1」「test2」のそれぞれのグループに追加されます。
トラスト・ログイン上のグループからメンバーを削除・移動した場合、SAML SSO後にHarmony SASE 上のグループからも除外・移動されます。
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
- 「アプリケーション名」「アイコン」(任意)を設定します。
- 「IDプロバイダーの情報」 の「IDプロバイダーURL」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
-
「サービスプロバイダーの設定」を以下のとおり設定します。
ご利用のHarmony SASE のリージョンによって設定する値が異なります。
{{WORKSPACE}}にはHarmony SASE のWorkspace名を挿入します。
例:リージョンがEU、Workspaceが「gmo-globalsign.eu.sase.checkpoint.com」 の場合
エンティティID : urn:auth0:eu-sase-checkpoint:gmo-globalsign-oc
サービスへのACS URL:https://auth.eu.sase.checkpoint.com/login/callback?connection=gmo-globalsign-ocエンティティID 【US】 urn:auth0:perimeter81:{{WORKSPACE}}-oc
【EU】 urn:auth0:eu-sase-checkpoint:{{WORKSPACE}}-oc
【AU】urn:auth0:qsase-au:{{WORKSPACE}}-oc
【India】urn:auth0:qsase-in:{{WORKSPACE}}-ocサービスへのACS URL 【US】https://auth.perimeter81.com/login/callback?connection={{WORKSPACE}}-oc
【EU】https://auth.eu.sase.checkpoint.com/login/callback?connection={{WORKSPACE}}-oc -
「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
※「groups」の行はグループの同期を行う場合のみ設定、同期をしない場合は設定不要です。サービスプロバイダー属性 トラスト・ログイン(IdP)属性 属性指定名 属性種類 属性名 属性値 email Basic email メンバー メールアドレス given_name Basic given_name メンバー 名 family_name Basic family_name メンバー 姓 groups Basic groups グループ 設定したグループ名を選択し「+」ボタンで全て追加する - 「登録」ボタンで保存します。
Harmony SASE の設定
- 管理者アカウントでHarmony SASE の設定画面を開き、「Setting > Identity Providers」を開きます。「Add Provider」ボタンをクリックします。
- 「SAML 2.0 Identity Providers」を選択して「Continue」で進みます。
-
各項目を以下のとおり設定し、「Done」ボタンで保存します。
Sign In URL トラスト・ログインから取得した「IDプロバイダーURL」 Domain Aliases ユーザーのメールアドレスに使用されているドメイン名 X509 Signing Certificate トラスト・ログインから取得した「証明書」の中身
「Identity Providers」の画面で「Email and Password」をOFFにすることで、ログイン方法をSAML SSOに限定することも可能です。
その場合は、SAML SSO の認証が成功しユーザーへの周知が完了してから切り替えを行うようご注意ください。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
※事前に管理者でSAMLアプリを設定している必要があります。
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
② 管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
ログイン方法
ログイン画面からSP-Initiated SSOでログインする場合や、モバイルアプリ・デスクトップアプリからログインを行う際は、必要に応じてWorkspace名入力とリージョン選択をして進んだ後、「Sign in with SSO」ボタンをクリックするとSAML SSOのログインに進みます。