Check Point Harmony SASE のSAML JIT設定方法

 項目

内容 

事前確認

  • Check Point Harmony SASE (以降Harmony SASE)にて事前の設定が必要です。
  • 最新の設定手順は、Check Point からご提供されているマニュアルをご確認くださいますようお願いいたします。
ネームID メールアドレス
  カスタム属性 ※ カスタム属性の設定方法はこちら
SP側の設定 管理者様にて設定
  SPへ設定を依頼
プロビジョニング   APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)
SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)
  なし(各システムでアカウント作成)
アクセス方法 SP-Initiated SSO
IdP-Initiated SSO
デバイス別動作検証状況 PC - ブラウザ
PC - デスクトップアプリ
iOS - 標準ブラウザ (Safari)
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ
iOS - ネイティブアプリ
Android - 標準ブラウザ (Chrome)
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ
Android - ネイティブアプリ
SAML認証適用範囲 全員有効(SAML認証のみとなる)
その他:全員有効(SAML認証とパスワード認証併用選択可能)

備考

 

 

目次:

事前準備

トラスト・ログインの管理ページの設定 

Harmony SASE の設定

トラスト・ログインのユーザーの設定

ログイン方法

 

事前準備

※ Harmony SASEのグループとトラスト・ログインのグループの同期が不要な場合はこちらの設定は不要です。次の項目にお進みください。

Harmony SASE のグループにマッピングするグループをトラスト・ログインに作成し、メンバーを割り当てます。この時Harmony SASE 上のグループ名とトラスト・ログイン上のグループ名は一致している必要があります。

グループの作成方法、メンバーの割り当て方法は以下のページをご参照ください。
    グループを登録する
 

【設定例】

Harmony SASE 上のグループ名が「test1」「test2」である場合、トラスト・ログインにも同名の「test1」「test2」のグループを作成し、メンバーを割り当てます。

  • Harmony SASE のグループ設定
    001.png
     
  • トラスト・ログインのグループ設定
    002.png


これによりトラスト・ログインで「test1」「test2」のグループに属するユーザーが Harmony SASE にSAML SSOを行うと、自動的にHarmony SASE で「test1」「test2」のそれぞれのグループに追加されます。
トラスト・ログイン上のグループからメンバーを削除・移動した場合、SAML SSO後にHarmony SASE 上のグループからも除外・移動されます。
 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png
     
  2. 「アプリケーション名」「アイコン」(任意)を設定します。
    02.png
     
  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png
     
  4. 「サービスプロバイダーの設定」を以下のとおり設定します。
    ご利用のHarmony SASE のリージョンによって設定する値が異なります。
    {{WORKSPACE}}にはHarmony SASE のWorkspace名を挿入します。

    例:リージョンがEU、Workspaceが「gmo-globalsign.eu.sase.checkpoint.com」 の場合
    エンティティID : urn:auth0:eu-sase-checkpoint:gmo-globalsign-oc
    サービスへのACS URL:https://auth.eu.sase.checkpoint.com/login/callback?connection=gmo-globalsign-oc

    エンティティID 【US】 urn:auth0:perimeter81:{{WORKSPACE}}-oc

    【EU】 urn:auth0:eu-sase-checkpoint:{{WORKSPACE}}-oc

    【AU】urn:auth0:qsase-au:{{WORKSPACE}}-oc

    【India】urn:auth0:qsase-in:{{WORKSPACE}}-oc
    サービスへのACS URL 【US】https://auth.perimeter81.com/login/callback?connection={{WORKSPACE}}-oc

    【EU】https://auth.eu.sase.checkpoint.com/login/callback?connection={{WORKSPACE}}-oc
    04.png
  5. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
    ※「groups」の行はグループの同期を行う場合のみ設定、同期をしない場合は設定不要です。

    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    email Basic email メンバー メールアドレス
    given_name Basic given_name メンバー
    family_name Basic family_name メンバー
    groups Basic groups グループ 設定したグループ名を選択し「+」ボタンで全て追加する
    05.png
  6. 「登録」ボタンで保存します。
     

Harmony SASE の設定

  1. 管理者アカウントでHarmony SASE の設定画面を開き、「Setting > Identity Providers」を開きます。「Add Provider」ボタンをクリックします。
    06.png
     
  2. 「SAML 2.0 Identity Providers」を選択して「Continue」で進みます。
    07.png
     
  3. 各項目を以下のとおり設定し、「Done」ボタンで保存します。

    Sign In URL トラスト・ログインから取得した「IDプロバイダーURL」
    Domain Aliases ユーザーのメールアドレスに使用されているドメイン名
    X509 Signing Certificate トラスト・ログインから取得した「証明書」の中身


    08.png

 

「Identity Providers」の画面で「Email and Password」をOFFにすることで、ログイン方法をSAML SSOに限定することも可能です。
その場合は、SAML SSO の認証が成功しユーザーへの周知が完了してから切り替えを行うようご注意ください。
09.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

※事前に管理者でSAMLアプリを設定している必要があります。

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

② 管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

ログイン方法

ログイン画面からSP-Initiated SSOでログインする場合や、モバイルアプリ・デスクトップアプリからログインを行う際は、必要に応じてWorkspace名入力とリージョン選択をして進んだ後、「Sign in with SSO」ボタンをクリックするとSAML SSOのログインに進みます。

10.png

 

 

Check Point Harmony SASE のSAML JIT設定方法

 項目

内容 

事前確認

  • Check Point Harmony SASE (以降Harmony SASE)にて事前の設定が必要です。
  • 最新の設定手順は、Check Point からご提供されているマニュアルをご確認くださいますようお願いいたします。
ネームID メールアドレス
  カスタム属性 ※ カスタム属性の設定方法はこちら
SP側の設定 管理者様にて設定
  SPへ設定を依頼
プロビジョニング   APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)
SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)
  なし(各システムでアカウント作成)
アクセス方法 SP-Initiated SSO
IdP-Initiated SSO
デバイス別動作検証状況 PC - ブラウザ
PC - デスクトップアプリ
iOS - 標準ブラウザ (Safari)
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ
iOS - ネイティブアプリ
Android - 標準ブラウザ (Chrome)
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ
Android - ネイティブアプリ
SAML認証適用範囲 全員有効(SAML認証のみとなる)
その他:全員有効(SAML認証とパスワード認証併用選択可能)

備考

 

 

目次:

事前準備

トラスト・ログインの管理ページの設定 

Harmony SASE の設定

トラスト・ログインのユーザーの設定

ログイン方法

 

事前準備

※ Harmony SASEのグループとトラスト・ログインのグループの同期が不要な場合はこちらの設定は不要です。次の項目にお進みください。

Harmony SASE のグループにマッピングするグループをトラスト・ログインに作成し、メンバーを割り当てます。この時Harmony SASE 上のグループ名とトラスト・ログイン上のグループ名は一致している必要があります。

グループの作成方法、メンバーの割り当て方法は以下のページをご参照ください。
    グループを登録する
 

【設定例】

Harmony SASE 上のグループ名が「test1」「test2」である場合、トラスト・ログインにも同名の「test1」「test2」のグループを作成し、メンバーを割り当てます。

  • Harmony SASE のグループ設定
    001.png
     
  • トラスト・ログインのグループ設定
    002.png


これによりトラスト・ログインで「test1」「test2」のグループに属するユーザーが Harmony SASE にSAML SSOを行うと、自動的にHarmony SASE で「test1」「test2」のそれぞれのグループに追加されます。
トラスト・ログイン上のグループからメンバーを削除・移動した場合、SAML SSO後にHarmony SASE 上のグループからも除外・移動されます。
 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    jit01.png
     
  2. 「アプリケーション名」「アイコン」(任意)を設定します。
    02.png
     
  3. 「IDプロバイダーの情報」 の「IDプロバイダーURL」の値を控え、「証明書を取得」ボタンから証明書をダウンロードします。
    03.png
     
  4. 「サービスプロバイダーの設定」を以下のとおり設定します。
    ご利用のHarmony SASE のリージョンによって設定する値が異なります。
    {{WORKSPACE}}にはHarmony SASE のWorkspace名を挿入します。

    例:リージョンがEU、Workspaceが「gmo-globalsign.eu.sase.checkpoint.com」 の場合
    エンティティID : urn:auth0:eu-sase-checkpoint:gmo-globalsign-oc
    サービスへのACS URL:https://auth.eu.sase.checkpoint.com/login/callback?connection=gmo-globalsign-oc

    エンティティID 【US】 urn:auth0:perimeter81:{{WORKSPACE}}-oc

    【EU】 urn:auth0:eu-sase-checkpoint:{{WORKSPACE}}-oc

    【AU】urn:auth0:qsase-au:{{WORKSPACE}}-oc

    【India】urn:auth0:qsase-in:{{WORKSPACE}}-oc
    サービスへのACS URL 【US】https://auth.perimeter81.com/login/callback?connection={{WORKSPACE}}-oc

    【EU】https://auth.eu.sase.checkpoint.com/login/callback?connection={{WORKSPACE}}-oc
    04.png
  5. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加して以下の通り設定します。
    ※「groups」の行はグループの同期を行う場合のみ設定、同期をしない場合は設定不要です。

    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    email Basic email メンバー メールアドレス
    given_name Basic given_name メンバー
    family_name Basic family_name メンバー
    groups Basic groups グループ 設定したグループ名を選択し「+」ボタンで全て追加する
    05.png
  6. 「登録」ボタンで保存します。
     

Harmony SASE の設定

  1. 管理者アカウントでHarmony SASE の設定画面を開き、「Setting > Identity Providers」を開きます。「Add Provider」ボタンをクリックします。
    06.png
     
  2. 「SAML 2.0 Identity Providers」を選択して「Continue」で進みます。
    07.png
     
  3. 各項目を以下のとおり設定し、「Done」ボタンで保存します。

    Sign In URL トラスト・ログインから取得した「IDプロバイダーURL」
    Domain Aliases ユーザーのメールアドレスに使用されているドメイン名
    X509 Signing Certificate トラスト・ログインから取得した「証明書」の中身


    08.png

 

「Identity Providers」の画面で「Email and Password」をOFFにすることで、ログイン方法をSAML SSOに限定することも可能です。
その場合は、SAML SSO の認証が成功しユーザーへの周知が完了してから切り替えを行うようご注意ください。
09.png

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

※事前に管理者でSAMLアプリを設定している必要があります。

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

② 管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

ログイン方法

ログイン画面からSP-Initiated SSOでログインする場合や、モバイルアプリ・デスクトップアプリからログインを行う際は、必要に応じてWorkspace名入力とリージョン選択をして進んだ後、「Sign in with SSO」ボタンをクリックするとSAML SSOのログインに進みます。

10.png