FortiGate IPsec-VPN のSAML認証の設定方法

GMOトラスト・ログインチーム
  • 更新

 項目

内容 

事前確認
  • FortiGate にて事前の設定が必要です。
  • 最新の設定手順は、FortiGate からご提供されているマニュアルをご確認くださいますようお願いいたします。
ネームID メールアドレス
  カスタム属性 ※ カスタム属性の設定方法はこちら
SP側の設定 管理者様にて設定
  SPへ設定を依頼
プロビジョニング   APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)
  SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)
なし(各システムでアカウント作成)
アクセス方法 SP-Initiated SSO
IdP-Initiated SSO
デバイス別動作検証状況 PC - ブラウザ
PC - デスクトップアプリ
iOS - 標準ブラウザ (Safari)
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ
iOS - ネイティブアプリ (※)
Android - 標準ブラウザ (Chrome)
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ
Android - ネイティブアプリ ※未検証
SAML認証適用範囲 全員有効(SAML認証のみとなる)
その他:
Fortigate でSAML認証適用したトンネルに接続するユーザーのみ有効

備考

 (※)トラスト・ログインのクライアント認証をご利用の場合は、iOSネイティブアプリでのSAML SSOができませんのでご注意ください。

 

目次:

事前準備

トラスト・ログインの管理ページの設定 

FortiGate の設定

トラスト・ログインのユーザーの設定

FortiClient VPN利用方法(PC)

FortiClient VPN利用方法(iOS - ネイティブアプリ)

 

事前準備

Fortigate でSAML認証を受信するポートを設定します。
FortiGate の管理画面から右上の「>_」を押してCLIコンソールを開き、コマンドを実行します。
※お客様環境に合わせて設定をお願いします。詳細はこちらをご参照ください。

ここでは一例として、以下のコマンドを実行します。

config system global
set auth-ike-saml-port 9443
end


01.png


トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    tl01.png
     
  2. 「企業アプリ登録」画面で検索し、「FortiGate (SAML) 」を選択します。
    tl02.png
     
  3. 「IDプロバイダーの情報」の「IDプロバイダーURL」「発行者・エンティティID」を控えておき、「証明書を取得」から証明書をダウンロードします。
    ※ ダウンロードした証明書の拡張子を「.cert」に変換しておきます。
    tl03.png
     
  4. 「サービスプロバイダーの設定」の空欄3箇所に接続対象となるIP(もしくはFQDN)とSAML認証で使用するポート(事前準備で設定したポート)を「[IP]:[ポート]」の形式で入力します。
    tl04.png
     
  5. 「登録」ボタンで保存します。

 

FortiGate の設定

  1. FortiGate にトラスト・ログインの証明書を登録します。
    FortiGate の管理画面を開き、「システム > 証明書 > 作成/インポート > リモート」からトラスト・ログインからダウンロードした証明書をアップロードします。登録した証明書の「名前」を控えておいてください。
    02.png

    03.png

    04.png
     
  2. SAML認証を設定します。
    「ユーザ&認証 > シングルサインオン > 新規作成」を開きます。
    05.png
     

  3. 以下の通り設定し「次へ」をクリックします。

    名前 任意の名前
    アドレス 接続対象となるIP(もしくはFQDN)とSAML認証で使用するポートを「[IP]:[ポート]」の形式で入力
    証明書 トグルを有効にし「Fortinet_Factory」を選択

    06.png
     

  4. 以下の通り設定し「サブミット」をクリックします。

    タイプ 「カスタム」を選択
    エンティティID トラスト・ログインから取得した「発行者・エンティティID」
    アサーションコンシューマサービスURL トラスト・ログインから取得した「IDプロバイダーURL」
    証明書 手順「1」で登録した証明書を選択
    ユーザを識別するために使用される属性 username

    07.png
     

  5. SAML認証を利用するユーザグループを作成します。
    「ユーザ&認証 > ユーザグループ > 新規作成」を開きます。
    08.png
     

  6. 以下の通り設定し「OK」をクリックします。

    名前 任意の名前
    タイプ 「ファイアウォール」を選択
    リモートグループ 「追加 > リモートサーバ」から、手順「4」で作成したSAML設定を選択

    09.png
     

  7. SAML認証で接続するIPsecVPNトンネルを設定します。
    「VPN > IPsecウィザード」を開き、「①VPNセットアップ」を以下の通り設定し「次へ」をクリックします。

    名前 任意の名前
    テンプレートタイプ リモートアクセス
    リモートデバイスタイプ お客様環境に応じて設定(ここでは「クライアントベース/FortiClient」を選択)

    10.png
     

  8. 「②認証」を以下の通り設定し「次へ」をクリックします。

    着信インターフェース お客様環境に応じて設定(ここでは「WAN」を選択)
    認証方式 「事前共有鍵」を選択
    事前共有鍵 任意の値
    ※Forticlient でのVPN接続時に使用するため、控えておいてください。
    ユーザグループ 手順「6」で作成したユーザグループを選択

    11.png
     

  9. 「③ポリシー&ルーティング」と「④クライアントオプション」設定をお客様環境に応じて設定して進み、「⑤設定の確認」で内容を確認し、「作成」をクリックします。
    14.png
     
  10. 「VPN > IPsecトンネル」から、手順「7」〜「9」で作成したトンネルを選択し「編集」をクリックします。
    15.png
     
  11. 「カスタムトンネルへコンバート」をクリックします。
    16.png
     
  12. 「認証」の「IKE」でバージョン「2」を選択します。
    17.png
     
  13. 「フェーズ1 プロポーザル」をお客様環境に応じて設定します。設定後に「Diffie-Hellmanグループ」の設定値を控えておいてください。
    ※VPNに接続する端末のFortiClient側設定を、ここで「Diffie-Hellmanグループ」に設定した値と一致させる必要があります。
    18.png
     
  14. 「フェーズ2 セレクタ > 高度な設定」からお客様環境に応じて設定します。設定後に「Diffie-Hellmanグループ」の設定値を控えておいてください。
    ※VPNに接続する端末のFortiClient側設定を、ここで「Diffie-Hellmanグループ」に設定した値と一致させる必要があります。

    設定後に「OK」をクリックします。
    19.png
     

  15. SAML認証を受け付けるインターフェースを設定します。
    FortiGate のCLIコンソールを開き、以下の通りコマンドを実行します。

    config vpn ipsec phase1-interface
  edit "TrustloginVPN"  ←※手順「14」で作成したトンネル名
   set ike-version 2
   set eap enable
   set eap-identity send-request
   set authusrgrp "VPN_SAML_Group"  ←※手順「6」で作成したユーザグループ名
  next
end

     

  16. SAML認証を受け付けるインターフェースと、使用するシングルサインオン設定を紐づけます。
    FortiGate のCLIコンソールを開き、以下の通りコマンドを実行します。

    config system interface
  edit "wan"  ←※手順「8」で設定した着信インターフェース
    set ike-saml-server "Trustlogin"  ←※手順「4」で作成したシングルサインオン設定名
  next
end

    20.png


以上でFortigate 側の設定は完了です。
 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

※事前に管理者でSAMLアプリを設定している必要があります。

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「FortiGate (SAML) 」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「FortiGate (SAML) 」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
     

FortiClient VPN利用方法(PC)

  1. FortiClient VPNを開き、「新規接続の追加」からVPN接続を以下の通り設定します。

    接続名 任意の名称
    リモートGW 接続対象となるIP
    認証方法 「事前共有鍵」を選択 /「FortiGate の設定」の手順「8」で設定した事前共有鍵の値
    Single Sign On Setting 「VPNトンネルのシングルサインイン(SSO)を有効化」にチェック
    ポートの編集 「事前準備」で設定したSAML認証に使用するポート
    SAMLユーザ認証のユーザエージェントとして外部ブラウザを使用する チェックを入れる

    pc01.png

    pc02.png

     

  2. 「詳細設定」を開き、以下の通り設定し「保存」をクリックします。

    詳細設定 > VPN設定
    IKE バージョン2
    Address Assingnment モードコンフィグ
    Encapsulation IKE UDP Port(Port:500)
    詳細設定 > フェーズ1
    DHグループ 「FortiGate の設定」の手順「13」で設定した「Diffie-Hellmanグループ」と同じ値
    詳細設定 > フェーズ2
    DHグループ 「FortiGate の設定」の手順「14」で設定した「Diffie-Hellmanグループ」と同じ値

    pc03.png

    pc04.png
     

  3. 「接続」をクリックすると、ブラウザが開きトラストログインの認証が求められます。
    トラスト・ログイン側でログイン後、FortiClient VPNのSAML認証が始まり、成功するとFortiClient VPNの接続が確立します。
    pc05.png

 

FortiClient VPN利用方法(iOS - ネイティブアプリ)

  1. FortiClient VPNを開き、「Select connection > Add Configuration」をタップします。
    21.png  22.png
     

  2. 以下の通り設定し、「Save」をタップします。

    VPN ACCOUNT INFORMATION
    Secure Protocol IKEv2 VPN
    Name 任意の名称
    Server Address 接続対象となるIP
    SSO トグルをON
    Port 「事前準備」で設定したSAML認証に使用するポート
    ADVANCED SETTINGS
    Authentication Method Pre-shared key
    Pre-shared Key Secret 「FortiGate の設定」の手順「8」で設定した事前共有鍵の値
    EAP-Auth トグルをON
    PHASE 1
    DH Group 「FortiGate の設定」の手順「13」で設定した「Diffie-Hellmanグループ」と同じ値
    PHASE 2
    DH Group 「FortiGate の設定」の手順「14」で設定した「Diffie-Hellmanグループ」と同じ値

    23.png  24.png
     

  3. 「USER VPN GATEWAY」から、作成したVPN設定をタップしてチェックを付けます。
    27.png
     
  4. 「VPN」をタップして最初の画面に戻り、「Connect」のトグルをONにします。
    25.png
     
  5. トラストログインのログイン画面に遷移します。
    トラスト・ログイン側でログイン後、FortiClient VPNのSAML認証が始まり、成功するとFortiClient VPNの接続が確立します。
    26.png

 

 

この記事は役に立ちましたか?

関連記事

  1. ホーム
  2. SAML認証設定方法
  3. FortiGate IPsec-VPN のSAML認証の設定方法

FortiGate IPsec-VPN のSAML認証の設定方法

GMOトラスト・ログインチーム
  • 更新

 項目

内容 

事前確認
  • FortiGate にて事前の設定が必要です。
  • 最新の設定手順は、FortiGate からご提供されているマニュアルをご確認くださいますようお願いいたします。
ネームID メールアドレス
  カスタム属性 ※ カスタム属性の設定方法はこちら
SP側の設定 管理者様にて設定
  SPへ設定を依頼
プロビジョニング   APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)
  SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)
なし(各システムでアカウント作成)
アクセス方法 SP-Initiated SSO
IdP-Initiated SSO
デバイス別動作検証状況 PC - ブラウザ
PC - デスクトップアプリ
iOS - 標準ブラウザ (Safari)
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ
iOS - ネイティブアプリ (※)
Android - 標準ブラウザ (Chrome)
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ
Android - ネイティブアプリ ※未検証
SAML認証適用範囲 全員有効(SAML認証のみとなる)
その他:
Fortigate でSAML認証適用したトンネルに接続するユーザーのみ有効

備考

 (※)トラスト・ログインのクライアント認証をご利用の場合は、iOSネイティブアプリでのSAML SSOができませんのでご注意ください。

 

目次:

事前準備

トラスト・ログインの管理ページの設定 

FortiGate の設定

トラスト・ログインのユーザーの設定

FortiClient VPN利用方法(PC)

FortiClient VPN利用方法(iOS - ネイティブアプリ)

 

事前準備

Fortigate でSAML認証を受信するポートを設定します。
FortiGate の管理画面から右上の「>_」を押してCLIコンソールを開き、コマンドを実行します。
※お客様環境に合わせて設定をお願いします。詳細はこちらをご参照ください。

ここでは一例として、以下のコマンドを実行します。

config system global
set auth-ike-saml-port 9443
end


01.png


トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    tl01.png
     
  2. 「企業アプリ登録」画面で検索し、「FortiGate (SAML) 」を選択します。
    tl02.png
     
  3. 「IDプロバイダーの情報」の「IDプロバイダーURL」「発行者・エンティティID」を控えておき、「証明書を取得」から証明書をダウンロードします。
    ※ ダウンロードした証明書の拡張子を「.cert」に変換しておきます。
    tl03.png
     
  4. 「サービスプロバイダーの設定」の空欄3箇所に接続対象となるIP(もしくはFQDN)とSAML認証で使用するポート(事前準備で設定したポート)を「[IP]:[ポート]」の形式で入力します。
    tl04.png
     
  5. 「登録」ボタンで保存します。

 

FortiGate の設定

  1. FortiGate にトラスト・ログインの証明書を登録します。
    FortiGate の管理画面を開き、「システム > 証明書 > 作成/インポート > リモート」からトラスト・ログインからダウンロードした証明書をアップロードします。登録した証明書の「名前」を控えておいてください。
    02.png

    03.png

    04.png
     
  2. SAML認証を設定します。
    「ユーザ&認証 > シングルサインオン > 新規作成」を開きます。
    05.png
     

  3. 以下の通り設定し「次へ」をクリックします。

    名前 任意の名前
    アドレス 接続対象となるIP(もしくはFQDN)とSAML認証で使用するポートを「[IP]:[ポート]」の形式で入力
    証明書 トグルを有効にし「Fortinet_Factory」を選択

    06.png
     

  4. 以下の通り設定し「サブミット」をクリックします。

    タイプ 「カスタム」を選択
    エンティティID トラスト・ログインから取得した「発行者・エンティティID」
    アサーションコンシューマサービスURL トラスト・ログインから取得した「IDプロバイダーURL」
    証明書 手順「1」で登録した証明書を選択
    ユーザを識別するために使用される属性 username

    07.png
     

  5. SAML認証を利用するユーザグループを作成します。
    「ユーザ&認証 > ユーザグループ > 新規作成」を開きます。
    08.png
     

  6. 以下の通り設定し「OK」をクリックします。

    名前 任意の名前
    タイプ 「ファイアウォール」を選択
    リモートグループ 「追加 > リモートサーバ」から、手順「4」で作成したSAML設定を選択

    09.png
     

  7. SAML認証で接続するIPsecVPNトンネルを設定します。
    「VPN > IPsecウィザード」を開き、「①VPNセットアップ」を以下の通り設定し「次へ」をクリックします。

    名前 任意の名前
    テンプレートタイプ リモートアクセス
    リモートデバイスタイプ お客様環境に応じて設定(ここでは「クライアントベース/FortiClient」を選択)

    10.png
     

  8. 「②認証」を以下の通り設定し「次へ」をクリックします。

    着信インターフェース お客様環境に応じて設定(ここでは「WAN」を選択)
    認証方式 「事前共有鍵」を選択
    事前共有鍵 任意の値
    ※Forticlient でのVPN接続時に使用するため、控えておいてください。
    ユーザグループ 手順「6」で作成したユーザグループを選択

    11.png
     

  9. 「③ポリシー&ルーティング」と「④クライアントオプション」設定をお客様環境に応じて設定して進み、「⑤設定の確認」で内容を確認し、「作成」をクリックします。
    14.png
     
  10. 「VPN > IPsecトンネル」から、手順「7」〜「9」で作成したトンネルを選択し「編集」をクリックします。
    15.png
     
  11. 「カスタムトンネルへコンバート」をクリックします。
    16.png
     
  12. 「認証」の「IKE」でバージョン「2」を選択します。
    17.png
     
  13. 「フェーズ1 プロポーザル」をお客様環境に応じて設定します。設定後に「Diffie-Hellmanグループ」の設定値を控えておいてください。
    ※VPNに接続する端末のFortiClient側設定を、ここで「Diffie-Hellmanグループ」に設定した値と一致させる必要があります。
    18.png
     
  14. 「フェーズ2 セレクタ > 高度な設定」からお客様環境に応じて設定します。設定後に「Diffie-Hellmanグループ」の設定値を控えておいてください。
    ※VPNに接続する端末のFortiClient側設定を、ここで「Diffie-Hellmanグループ」に設定した値と一致させる必要があります。

    設定後に「OK」をクリックします。
    19.png
     

  15. SAML認証を受け付けるインターフェースを設定します。
    FortiGate のCLIコンソールを開き、以下の通りコマンドを実行します。

    config vpn ipsec phase1-interface
  edit "TrustloginVPN"  ←※手順「14」で作成したトンネル名
   set ike-version 2
   set eap enable
   set eap-identity send-request
   set authusrgrp "VPN_SAML_Group"  ←※手順「6」で作成したユーザグループ名
  next
end

     

  16. SAML認証を受け付けるインターフェースと、使用するシングルサインオン設定を紐づけます。
    FortiGate のCLIコンソールを開き、以下の通りコマンドを実行します。

    config system interface
  edit "wan"  ←※手順「8」で設定した着信インターフェース
    set ike-saml-server "Trustlogin"  ←※手順「4」で作成したシングルサインオン設定名
  next
end

    20.png


以上でFortigate 側の設定は完了です。
 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

※事前に管理者でSAMLアプリを設定している必要があります。

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「FortiGate (SAML) 」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「FortiGate (SAML) 」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
     

FortiClient VPN利用方法(PC)

  1. FortiClient VPNを開き、「新規接続の追加」からVPN接続を以下の通り設定します。

    接続名 任意の名称
    リモートGW 接続対象となるIP
    認証方法 「事前共有鍵」を選択 /「FortiGate の設定」の手順「8」で設定した事前共有鍵の値
    Single Sign On Setting 「VPNトンネルのシングルサインイン(SSO)を有効化」にチェック
    ポートの編集 「事前準備」で設定したSAML認証に使用するポート
    SAMLユーザ認証のユーザエージェントとして外部ブラウザを使用する チェックを入れる

    pc01.png

    pc02.png

     

  2. 「詳細設定」を開き、以下の通り設定し「保存」をクリックします。

    詳細設定 > VPN設定
    IKE バージョン2
    Address Assingnment モードコンフィグ
    Encapsulation IKE UDP Port(Port:500)
    詳細設定 > フェーズ1
    DHグループ 「FortiGate の設定」の手順「13」で設定した「Diffie-Hellmanグループ」と同じ値
    詳細設定 > フェーズ2
    DHグループ 「FortiGate の設定」の手順「14」で設定した「Diffie-Hellmanグループ」と同じ値

    pc03.png

    pc04.png
     

  3. 「接続」をクリックすると、ブラウザが開きトラストログインの認証が求められます。
    トラスト・ログイン側でログイン後、FortiClient VPNのSAML認証が始まり、成功するとFortiClient VPNの接続が確立します。
    pc05.png

 

FortiClient VPN利用方法(iOS - ネイティブアプリ)

  1. FortiClient VPNを開き、「Select connection > Add Configuration」をタップします。
    21.png  22.png
     

  2. 以下の通り設定し、「Save」をタップします。

    VPN ACCOUNT INFORMATION
    Secure Protocol IKEv2 VPN
    Name 任意の名称
    Server Address 接続対象となるIP
    SSO トグルをON
    Port 「事前準備」で設定したSAML認証に使用するポート
    ADVANCED SETTINGS
    Authentication Method Pre-shared key
    Pre-shared Key Secret 「FortiGate の設定」の手順「8」で設定した事前共有鍵の値
    EAP-Auth トグルをON
    PHASE 1
    DH Group 「FortiGate の設定」の手順「13」で設定した「Diffie-Hellmanグループ」と同じ値
    PHASE 2
    DH Group 「FortiGate の設定」の手順「14」で設定した「Diffie-Hellmanグループ」と同じ値

    23.png  24.png
     

  3. 「USER VPN GATEWAY」から、作成したVPN設定をタップしてチェックを付けます。
    27.png
     
  4. 「VPN」をタップして最初の画面に戻り、「Connect」のトグルをONにします。
    25.png
     
  5. トラストログインのログイン画面に遷移します。
    トラスト・ログイン側でログイン後、FortiClient VPNのSAML認証が始まり、成功するとFortiClient VPNの接続が確立します。
    26.png

 

 

関連記事