Netskope(Reverse Proxy) のSAML認証の設定方法

1.SAML設定
 トラスト・ログインの管理ページの設定
 SP(Salesforce) の設定
 トラスト・ログインの管理ページの設定(続き)
 トラスト・ログインのユーザーの設定
 接続確認
2. SAML設定の再構成
 Netskope の設定
 SP(Salesforce)の設定
 トラスト・ログインの設定
3. 動作確認
 

1. SAML設定

Netskope Reverse Proxy設定の前提として IdP (トラスト・ログイン) と SPでSAML認証設定を行います。ここではSPとしてSalesforceを例に解説します。他SPのSAML認証設定方法につきましては、各SPのマニュアルをご参照ください。
Netskope(Reverse Proxy) のSAML設定の場合、設定項目が異なるため通常のSAML設定テンプレートを利用せず、独自SAMLアプリの登録方法を用いて設定を行います。

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    01_.png

  2. 「アプリケーション名」(任意の名称)、「アイコン」(任意)を登録します。
    「IDプロバイダーの情報」の「メタデータをダウンロード」から「メタデータ」をダウンロードしておきます。また「IDプロバイダーURL」を控えておき、「証明書」をダウンロードしておきます。
    02.png

ここで、SP(Salesforce)側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでSP(Salesforce)を開いてください。

SP(Salesforce) の設定

  1. Salesforceに管理者でログインし、メニューから「ID > シングルサインオン設定」を開きます。
    03.png

  2. 「編集」ボタンをクリック後、 「SAML を有効化」のチェックボックスにチェックを入れ、「保存」ボタンで保存します。
    04.png
    05.png

  3. 「メタデータファイルから新規作成」ボタンをクリックし、「ファイルを選択」ボタンでトラスト・ログインからダウンロードしたメタデータを選択しアップロードします。
    06.png
    07.png

  4. メタデータからの情報の反映されていることの確認と、他項目の設定を以下の通り行います。
    名前 任意の名称(ここでは例としてTrustLogin_Netskope とした)
    API参照名 任意の名称(ここでは例としてTrustLogin_Netskope とした)
    発行者 メタデータから反映されていることを確認する
    エンティティID メタデータから反映されていることを確認する
    サービスプロバイダの起動要求バインド 「HTTPポスト」を選択
    IDプロバイダーのログインURL メタデータから反映されていることを確認する
    シングルログアウトを有効にする   チェックを外す

    08.png

  5. 「IDプロバイダの証明書」にトラスト・ログインの情報が表示されていることを確認し、エンドポイントの情報を控えておきます。
    09.png

  6. メニューから「会社の設定 > 私のドメイン」を開き、「認証設定」の 「編集」 ボタンをクリックします。
    11.png

  7. 「認証サービス」の手順4で設定した認証サービス名にチェックを入れ「保存」をクリックします。
    12.png

再びトラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」の各項目にSalesforceから控えた情報を以下の通り設定します。
    ログインURL Salesforceから控えた「ログインURL
    エンティティID トラスト・ログインの「発行者・エンティティID」
    ネームIDフォーマット 「unspecified」を選択
    サービスへのACS URL Salesforceから控えた「ログインURL

    10.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

接続確認

正常にSAML認証が動作し、トラスト・ログインで認証したのちSP(Salesforce)にSSOできることを確認してください。

 

2. SAML設定の再構成

1で設定したSAML認証設定をNetskope経由で動作するように再構成を行います。

Netskope の設定

  1. Netskopeに管理者でログインし、左メニューから「Settings」を開きます。
    13.png

  2. 「Security Cloud Platform」を開きます。
    14.png

  3. 「REVERSE PROXY > SAML」を開き「ADD ACCOUNT」をクリックします。
    15.png

  4. New Account設定画面の各項目に以下の通り設定し「SAVE」ボタンで保存します。
    NAME 任意の名称(ここでは例としてTrustLogin RP Settings)
    APPLICATION 「Salesforce」を選択
    ACS URL Salesforce から控えた「ログインURL」
    IDP SSO URL トラスト・ログインから控えた「IDプロバイダーURL」
    IDP CERTIFICATE トラスト・ログインからダウンロードした「証明書」の中身(テキスト)を貼り付ける

    16.png

  5. 「Successfully saved SAML Proxy configuration」のメッセージが表示されることを確認し、
    作成されたSAML設定の「Netskope Settings」をクリックします。
    17.png

  6. Netskope Settingsの情報を控えておきます。
    (「ORGANIZATION ID」「SAML PROXY IDP URL」「SAML PROXY ACS URL」「SAML PROXY ISSUER CERTIFICATE」)
    18.png

SP(Salesforce)の設定

  1. SP(Salesforce)の設定画面に戻り、「発行者」「IDプロバイダの証明書」「IDプロバイダのログインURL」を手順6でNetskopeから取得した情報に変更し「保存」をクリックします。
    発行者 「ORGANIZATION ID」
    IDプロバイダの証明書 「SAML PROXY ISSUER CERTIFICATE」をコピーしてメモ帳等に張り付けてcert形式で保存後、アップロード
    IDプロバイダのログインURL 「SAML PROXY IDP URL」

    19.png

  2. 「発行者」「IDプロバイダのログインURL」「IDプロバイダの証明書」の内容が Netskopeのものになっていること を確認します。
    20.png

トラスト・ログインの設定

  1. 「サービスプロバイダーの設定」の「サービスへのACS URL」をNetskopeから控えた「SAML PROXY ACS URL」に変更します。
    netskope21.png

  2. 「登録」ボタンで保存します。

 

3. 動作確認

  1. SPにアクセスします。
    22.png

  2. トラスト・ログインにリダイレクトするのでログインを行います。
    23.png

  3. SPにSSOされます。URLに「~rproxy.goskope.com~」が追加されておりNetskope経由となっていることを確認できます。
    24.png

  4. Netskopeに管理者アカウントでログインし「Skope IT > Application Events」を開き、Salesforceへのログイン履歴がログで参照できることを確認します。
    25.png

Netskope(Reverse Proxy) のSAML認証の設定方法

1.SAML設定
 トラスト・ログインの管理ページの設定
 SP(Salesforce) の設定
 トラスト・ログインの管理ページの設定(続き)
 トラスト・ログインのユーザーの設定
 接続確認
2. SAML設定の再構成
 Netskope の設定
 SP(Salesforce)の設定
 トラスト・ログインの設定
3. 動作確認
 

1. SAML設定

Netskope Reverse Proxy設定の前提として IdP (トラスト・ログイン) と SPでSAML認証設定を行います。ここではSPとしてSalesforceを例に解説します。他SPのSAML認証設定方法につきましては、各SPのマニュアルをご参照ください。
Netskope(Reverse Proxy) のSAML設定の場合、設定項目が異なるため通常のSAML設定テンプレートを利用せず、独自SAMLアプリの登録方法を用いて設定を行います。

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    01_.png

  2. 「アプリケーション名」(任意の名称)、「アイコン」(任意)を登録します。
    「IDプロバイダーの情報」の「メタデータをダウンロード」から「メタデータ」をダウンロードしておきます。また「IDプロバイダーURL」を控えておき、「証明書」をダウンロードしておきます。
    02.png

ここで、SP(Salesforce)側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでSP(Salesforce)を開いてください。

SP(Salesforce) の設定

  1. Salesforceに管理者でログインし、メニューから「ID > シングルサインオン設定」を開きます。
    03.png

  2. 「編集」ボタンをクリック後、 「SAML を有効化」のチェックボックスにチェックを入れ、「保存」ボタンで保存します。
    04.png
    05.png

  3. 「メタデータファイルから新規作成」ボタンをクリックし、「ファイルを選択」ボタンでトラスト・ログインからダウンロードしたメタデータを選択しアップロードします。
    06.png
    07.png

  4. メタデータからの情報の反映されていることの確認と、他項目の設定を以下の通り行います。
    名前 任意の名称(ここでは例としてTrustLogin_Netskope とした)
    API参照名 任意の名称(ここでは例としてTrustLogin_Netskope とした)
    発行者 メタデータから反映されていることを確認する
    エンティティID メタデータから反映されていることを確認する
    サービスプロバイダの起動要求バインド 「HTTPポスト」を選択
    IDプロバイダーのログインURL メタデータから反映されていることを確認する
    シングルログアウトを有効にする   チェックを外す

    08.png

  5. 「IDプロバイダの証明書」にトラスト・ログインの情報が表示されていることを確認し、エンドポイントの情報を控えておきます。
    09.png

  6. メニューから「会社の設定 > 私のドメイン」を開き、「認証設定」の 「編集」 ボタンをクリックします。
    11.png

  7. 「認証サービス」の手順4で設定した認証サービス名にチェックを入れ「保存」をクリックします。
    12.png

再びトラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. 「サービスプロバイダーの設定」の各項目にSalesforceから控えた情報を以下の通り設定します。
    ログインURL Salesforceから控えた「ログインURL
    エンティティID トラスト・ログインの「発行者・エンティティID」
    ネームIDフォーマット 「unspecified」を選択
    サービスへのACS URL Salesforceから控えた「ログインURL

    10.png

  2. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

接続確認

正常にSAML認証が動作し、トラスト・ログインで認証したのちSP(Salesforce)にSSOできることを確認してください。

 

2. SAML設定の再構成

1で設定したSAML認証設定をNetskope経由で動作するように再構成を行います。

Netskope の設定

  1. Netskopeに管理者でログインし、左メニューから「Settings」を開きます。
    13.png

  2. 「Security Cloud Platform」を開きます。
    14.png

  3. 「REVERSE PROXY > SAML」を開き「ADD ACCOUNT」をクリックします。
    15.png

  4. New Account設定画面の各項目に以下の通り設定し「SAVE」ボタンで保存します。
    NAME 任意の名称(ここでは例としてTrustLogin RP Settings)
    APPLICATION 「Salesforce」を選択
    ACS URL Salesforce から控えた「ログインURL」
    IDP SSO URL トラスト・ログインから控えた「IDプロバイダーURL」
    IDP CERTIFICATE トラスト・ログインからダウンロードした「証明書」の中身(テキスト)を貼り付ける

    16.png

  5. 「Successfully saved SAML Proxy configuration」のメッセージが表示されることを確認し、
    作成されたSAML設定の「Netskope Settings」をクリックします。
    17.png

  6. Netskope Settingsの情報を控えておきます。
    (「ORGANIZATION ID」「SAML PROXY IDP URL」「SAML PROXY ACS URL」「SAML PROXY ISSUER CERTIFICATE」)
    18.png

SP(Salesforce)の設定

  1. SP(Salesforce)の設定画面に戻り、「発行者」「IDプロバイダの証明書」「IDプロバイダのログインURL」を手順6でNetskopeから取得した情報に変更し「保存」をクリックします。
    発行者 「ORGANIZATION ID」
    IDプロバイダの証明書 「SAML PROXY ISSUER CERTIFICATE」をコピーしてメモ帳等に張り付けてcert形式で保存後、アップロード
    IDプロバイダのログインURL 「SAML PROXY IDP URL」

    19.png

  2. 「発行者」「IDプロバイダのログインURL」「IDプロバイダの証明書」の内容が Netskopeのものになっていること を確認します。
    20.png

トラスト・ログインの設定

  1. 「サービスプロバイダーの設定」の「サービスへのACS URL」をNetskopeから控えた「SAML PROXY ACS URL」に変更します。
    netskope21.png

  2. 「登録」ボタンで保存します。

 

3. 動作確認

  1. SPにアクセスします。
    22.png

  2. トラスト・ログインにリダイレクトするのでログインを行います。
    23.png

  3. SPにSSOされます。URLに「~rproxy.goskope.com~」が追加されておりNetskope経由となっていることを確認できます。
    24.png

  4. Netskopeに管理者アカウントでログインし「Skope IT > Application Events」を開き、Salesforceへのログイン履歴がログで参照できることを確認します。
    25.png