1.SAML設定
トラスト・ログインの管理ページの設定
SP(Salesforce) の設定
トラスト・ログインの管理ページの設定(続き)
トラスト・ログインのユーザーの設定
接続確認
2. SAML設定の再構成
Netskope の設定
SP(Salesforce)の設定
トラスト・ログインの設定
3. 動作確認
1. SAML設定
Netskope Reverse Proxy設定の前提として IdP (トラスト・ログイン) と SPでSAML認証設定を行います。ここではSPとしてSalesforceを例に解説します。他SPのSAML認証設定方法につきましては、各SPのマニュアルをご参照ください。
Netskope(Reverse Proxy) のSAML設定の場合、設定項目が異なるため通常のSAML設定テンプレートを利用せず、独自SAMLアプリの登録方法を用いて設定を行います。
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
- 「アプリケーション名」(任意の名称)、「アイコン」(任意)を登録します。
「IDプロバイダーの情報」の「メタデータをダウンロード」から「メタデータ」をダウンロードしておきます。また「IDプロバイダーURL」を控えておき、「証明書」をダウンロードしておきます。
ここで、SP(Salesforce)側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでSP(Salesforce)を開いてください。
SP(Salesforce) の設定
- Salesforceに管理者でログインし、メニューから「ID > シングルサインオン設定」を開きます。
- 「編集」ボタンをクリック後、 「SAML を有効化」のチェックボックスにチェックを入れ、「保存」ボタンで保存します。
- 「メタデータファイルから新規作成」ボタンをクリックし、「ファイルを選択」ボタンでトラスト・ログインからダウンロードしたメタデータを選択しアップロードします。
- メタデータからの情報の反映されていることの確認と、他項目の設定を以下の通り行います。
名前 任意の名称(ここでは例としてTrustLogin_Netskope とした) API参照名 任意の名称(ここでは例としてTrustLogin_Netskope とした) 発行者 メタデータから反映されていることを確認する エンティティID メタデータから反映されていることを確認する サービスプロバイダの起動要求バインド 「HTTPポスト」を選択 IDプロバイダーのログインURL メタデータから反映されていることを確認する シングルログアウトを有効にする チェックを外す - 「IDプロバイダの証明書」にトラスト・ログインの情報が表示されていることを確認し、エンドポイントの情報を控えておきます。
- メニューから「会社の設定 > 私のドメイン」を開き、「認証設定」の 「編集」 ボタンをクリックします。
- 「認証サービス」の手順4で設定した認証サービス名にチェックを入れ「保存」をクリックします。
再びトラスト・ログインの設定に戻ります。
トラスト・ログインの管理ページの設定(続き)
- 「サービスプロバイダーの設定」の各項目にSalesforceから控えた情報を以下の通り設定します。
ログインURL Salesforceから控えた「ログインURL」 エンティティID トラスト・ログインの「発行者・エンティティID」 ネームIDフォーマット 「unspecified」を選択 サービスへのACS URL Salesforceから控えた「ログインURL」 - 「登録」ボタンで保存します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
- 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
接続確認
正常にSAML認証が動作し、トラスト・ログインで認証したのちSP(Salesforce)にSSOできることを確認してください。
2. SAML設定の再構成
1で設定したSAML認証設定をNetskope経由で動作するように再構成を行います。
Netskope の設定
- Netskopeに管理者でログインし、左メニューから「Settings」を開きます。
- 「Security Cloud Platform」を開きます。
- 「REVERSE PROXY > SAML」を開き「ADD ACCOUNT」をクリックします。
- New Account設定画面の各項目に以下の通り設定し「SAVE」ボタンで保存します。
NAME 任意の名称(ここでは例としてTrustLogin RP Settings) APPLICATION 「Salesforce」を選択 ACS URL Salesforce から控えた「ログインURL」 IDP SSO URL トラスト・ログインから控えた「IDプロバイダーURL」 IDP CERTIFICATE トラスト・ログインからダウンロードした「証明書」の中身(テキスト)を貼り付ける - 「Successfully saved SAML Proxy configuration」のメッセージが表示されることを確認し、
作成されたSAML設定の「Netskope Settings」をクリックします。 - Netskope Settingsの情報を控えておきます。
(「ORGANIZATION ID」「SAML PROXY IDP URL」「SAML PROXY ACS URL」「SAML PROXY ISSUER CERTIFICATE」)
SP(Salesforce)の設定
- SP(Salesforce)の設定画面に戻り、「発行者」「IDプロバイダの証明書」「IDプロバイダのログインURL」を手順6でNetskopeから取得した情報に変更し「保存」をクリックします。
発行者 「ORGANIZATION ID」 IDプロバイダの証明書 「SAML PROXY ISSUER CERTIFICATE」をコピーしてメモ帳等に張り付けてcert形式で保存後、アップロード IDプロバイダのログインURL 「SAML PROXY IDP URL」 - 「発行者」「IDプロバイダのログインURL」「IDプロバイダの証明書」の内容が Netskopeのものになっていること を確認します。
トラスト・ログインの設定
- 「サービスプロバイダーの設定」の「サービスへのACS URL」をNetskopeから控えた「SAML PROXY ACS URL」に変更します。
- 「登録」ボタンで保存します。
3. 動作確認
- SPにアクセスします。
- トラスト・ログインにリダイレクトするのでログインを行います。
- SPにSSOされます。URLに「~rproxy.goskope.com~」が追加されておりNetskope経由となっていることを確認できます。
- Netskopeに管理者アカウントでログインし「Skope IT > Application Events」を開き、Salesforceへのログイン履歴がログで参照できることを確認します。