4.4. ZTEdgeのSAMLサインオンと内蔵IdPの使用について¶
4.4.1. ZTEdgeのIdPとSAML Sign-onを内蔵¶
SWG、RBI、WAI、ZTNA、ZTEdge Clientの内蔵IDプロバイダーとSAML Sign-onの設定¶
Ericom ZTEdge IAMは、本サービスの認証を管理します。 メリットは以下の通りです。
- 一元管理
- クラウドネイティブ、ハイパフォーマンス、スケーラブル
- 外部IDプロバイダーとのSAML 2.0統合
- OpenID Connectと外部IDプロバイダとの連携
- 既存のユーザーディレクトリを利用したLDAPおよびActive Directoryの統合
- ソーシャルログイン - GoogleなどのソーシャルIDプロバイダーとの統合を可能にします。
Identity Admin Portalにアクセスする¶
IAM Admin Portal にアクセスするには、Ztadmin ポータルにログインし、「認証」(https://ztadmin.ericomcloud.net/shield-authentication )に移動します。
管理画面へ移動し、「Open Built-in IdP Admin Console」ボタンをクリックします。
注意
いずれかのポータルサイトで活動すると、タイムアウトカウンターがリセットされます。
アイドルタイムアウトの変更¶
ZTAdmin と IAM 管理コンソールのアイドルタイムアウトを変更するには、レルム設定|トークン|SSO セッションアイドル に移動して、アイドルタイムアウトに希望する値を設定します。ZTAdminおよびIAM管理コンソールは、設定された時間内にアクティビティが検出されない場合、自動的にログアウトします。
必要なデフォルトアクションを設定する¶
デフォルトアクションは、新しいユーザー(ローカルおよびLDAP)に自動的に設定されるアクションです。
注意
SAML を使用している場合、これらのプロパティは ID プロバイダから送信されるため、Default Action を設定する必要はない。
例えば、すべての新規ユーザーに多要素認証を使用するためのOTP設定を自動的に強制するには、「OTP設定」の「既定のアクション」をチェックするだけです。設定が自動的に保存されると、「成功、必須アクションが更新されました」という確認メッセージが表示されます。
SMTP電子メールの設定¶
管理コンソールは、ユーザーがメールアドレスを確認するとき、パスワードを忘れたとき、または管理者がサーバーイベントに関する通知を受け取る必要があるときに、電子メールを送信します。IAMが電子メールを送信できるようにするには、SMTPサーバーを設定する必要があります。
管理コンソールにログインし、「メール」タブを開き、ここにSMTPサーバーのパラメータを入力します。
| Host | Hostは、メール送信に使用するSMTPサーバーのホスト名を表します。 |
| Port | PortはSMTPサーバーのポートを表します。 |
| From | From は、送信される電子メールの From SMTP-Header に使用されるアドレスを表します。 |
| From Display Name | From Display Nameでは、ユーザーフレンドリーなメールアドレスのエイリアスを設定することができます(オプション)。設定しない場合は、メールクライアントでプレーンな送信元メールアドレスが表示されます。 |
| Reply To | Reply Toは、送信されるメールのReply-To SMTP-Headerに使用されるアドレスを表します(オプション)。設定しない場合は、プレーンなFromの電子メールアドレスが使用されます。 |
| Reply To Display Name | Reply To Display Nameでは、返信先表示名では、ユーザーフレンドリーなメールアドレスのエイリアスを設定することができます(オプション)。設定しない場合は、通常の返信先メールアドレスが表示されます。 |
| Envelope From | Envelope Fromは、送信メールのReturn-Path SMTP-Headerに使用されるBounce Addressを表します(オプション)。 |
電子メールはユーザー名とパスワードを回復するために使用されるので、特にSMTPサーバーが外部ネットワーク上にある場合は、SSLまたはTLSを使用することをお勧めします。SSLを有効にするには「Enable SSL」を、TLSを有効にするには「Enable TLS」をクリックしてください。ポート(SSL465とTLS587のデフォルトポート)を変更する必要がある場合がほとんどです。
SMTPサーバーが認証を必要とする場合は、Enable Authenticationをクリックし、UsernameとPasswordを入力します。Test Connection 「ボタンを押すと、設定が有効であることを確認し、成功すれば通知が表示されます。
ユーザーアカウントが電子メール認証に設定されている場合、ZTEdgeへの次回のログイン時に、電子メールアドレスを認証するための手順を電子メールで確認するように通知されます。
ZTEdgeから送信されたメールメッセージのサンプルをご紹介します。
バックアップとリストア¶
IAMの設定を定期的にバックアップするには、「Export」を実行します。
Export groups and rolesとExport clientsを有効にし、Exportボタンを押します。
今後、Import機能で使用できるJSONファイルがダウンロードされます。
4.4.2. ログインセキュリティの設定¶
ZTEdge の内蔵 IdP を使用している場合、追加のログイン・セキュリティ機能が利用可能です。 これらの機能を設定するには、管理ポータルにログインし、「認証」|「管理」|「内蔵IdP管理コンソールを開く」に進みます。
ブルートフォース検知¶
ブルートフォース攻撃は、何度もログインを試みることでユーザーのパスワードを推測しようとするものです。 ZTEdge IAMにはブルートフォース検出機能があり、ログイン失敗の回数が指定した閾値を超えた場合、ユーザーアカウントを永久的または一時的に無効化することができます。
注意
この機能は、ローカルおよびLDAPユーザーアカウントでサポートされています。 SAML アカウントは、外部 ID プロバイダでブルートフォース検出を有効にする必要があります。
ブルートフォース検知を設定するには
メニューの[レルム設定]をクリックします。
セキュリティ防御」タブをクリックします。
[ブルートフォース検出]タブをクリックします。
パラメータ¶
| 名称 | 商品説明 |
|---|---|
| 有効 | ブルートフォース検知の有効・無効を切り替えます。 |
| Permanent Lockout | 恒久的なロックアウトは、管理者が再び有効にするまでユーザーアカウントを無効にします。これが無効な場合、一時的なロックアウトは、特定の期間、ユーザーアカウントを無効にします。アカウントが無効になる期間は、攻撃が継続されるにつれて長くなります。 |
| ログイン失敗の最大数 | ログインに失敗する最大回数。 |
| ウェイトインクリメント | Permanent Lockoutが無効の場合、この設定により一時的なロックアウトの期間が決定されます。 |
| クイックログインチェック ミリ秒 | Quick Loginを試行する最短時間です。Quick Loginは、この時間内に同時ログインに失敗し、ユーザーがロックアウトされた場合に発生します。 |
| クイックログインの最小待ち時間 | ログイン試行がQuick Login Check Millisecondsより早い場合、ユーザーを無効にする最小時間です。 |
| 最大待ち時間 | ユーザーがロックアウトされる最大時間 |
| 故障復帰時間 | 失敗カウントがリセットされる時間。このタイマーは、最後にログインに失敗した時点から実行されます。 |
注意
ユーザーが一時的にロックされ、ログインしようとすると、「ユーザー名またはパスワードが無効です」というエラーメッセージが表示されます。このメッセージは、無効なユーザー名または無効なパスワードに対して表示されるメッセージと同じエラーメッセージで、攻撃者がアカウントが無効であることを確実に認識できるようにします。
手動でアカウントのロックを解除する¶
アカウントのロックを解除するには、ユーザーアカウントの詳細画面に移動します。
Permanent Lockoutが有効な場合、ユーザーアカウントはロックアウトアクションから無効化されます。
アクセスを許可するユーザーを再有効化します。[保存]をクリックします。
Permanent Lockoutが無効な場合(一時的なロックアウトが有効な場合)、[ユーザーのロック解除]をクリックしてアカウントのロックを解除してください。
そして、アクセスを許可するユーザーを再有効化します。[保存]をクリックします。
パスワードの複雑さに関するポリシーの設定¶
パスワードコンプリキシティポリシーとは、パスワードが強固であることを保証するためにユーザーが従わなければならない制限や要求のセットです。ポリシーを設定するには、管理コンソールにログインし、「認証」をクリックして「パスワードポリシー」タブに進みます。
「ポリシーの追加」ボタンをクリックすると、利用可能なパスワードポリシーのリストが表示されます。
推奨されるパスワードポリシー
桁数 - 必要な最小桁数
特殊文字 - 必要な特殊文字の最小数
ユーザー名ではない - パスワードはユーザー名と異なる必要があります。
最小限の長さ - パスワードの最小限の長さ
ZTEdge Administratorの役割分担について¶
ZTEdge addministratorロールをユーザーに割り当てるには、以下を実行します:
- 「ユーザー」に移動し、「すべてのユーザーを表示」を開く
- 管理者権限を付与したいユーザーをクリックする
- 「グループ」タブをクリック
- 「tenn-admins」を選択し、「Join」をクリックする
注意
読み取り専用のアクセス権を割り当てるには、ユーザーにtenna-readonly-adminsを割り当てます。
「tenn-admins」を追加したら、このユーザーで別のブラウザーでログインテストします。
注意
IdPユーザーに管理ロールを割り当てることは、ローカルに定義された(ztadmin)管理者に追加されます。
4.4.3. ローカルユーザー管理¶
[管理|ユーザー]に移動して、テナント内のすべてのユーザーを管理します。これらはテナント内に保存され、サードパーティのIDプロバイダーとは同期されません。
ローカルユーザーの作成¶
これらは、ZTEdge IAM でローカルにプロビジョニングおよび管理されているユーザーです。これは、ディレクトリサービスがなく、ZTEdgeをIDプロバイダとして使用してユーザーを認証したい場合に便利です。画面右側の[Add User]ボタンをクリックして、新規ユーザーの作成を開始します。必須項目はユーザー名のみです。
| 設定 | 商品説明 |
|---|---|
| クリエイテッドアット | ディレクトリサービスにおけるユーザーの作成時刻 |
| 電子メールアドレス | ユーザーに設定された電子メールアドレス |
| ユーザー使用可能 | テナントへのログインの有効・無効を切り替えます。 |
| 電子メール認証済み | Enabledに設定する |
| 必要なユーザーアクション | OTP の設定:ワンタイムパスワードアプリケーションの設定をユーザーに要求する
パスワードの更新:パスワードの変更をユーザーに要求する
プロファイルの更新:プロファイルの更新をユーザーに要求する
電子メールの検証:電子メールアドレスの検証をユーザーに要求する
|
ユーザーが作成されたら、その編集ボタンをクリックして、パスワードの設定やプロパティを変更します。 認証情報]タブでパスワードを設定します。
定義されたパスワードの使用をユーザーに許可する場合は、TemporaryをDisabledに設定する(推奨しない)。
TemporaryをEnabledに設定し、初期状態ではデフォルトのパスワードでログインできるようにします。また、ユーザーの「詳細」タブで「ユーザーの必須行動」を「パスワードの更新」に設定し、ユーザーにパスワードの変更を強制します。
必要なアクション¶
必須アクションは、ユーザーがログインを許可される前に完了しなければならないタスクです。ユーザーは、必須アクションを実行する前に、資格情報を提供する必要があります。必須アクションが完了すると、ユーザーはそのアクションを再度実行する必要はありません。以下は、組み込みの必須アクションの種類についての説明です。
| パスワードの更新 | 設定すると、ユーザーはログイン時にパスワードを変更するよう促されます。このオプションは、ユーザーにデフォルトのパスワードを提供する場合に有効にすることをお勧めします。 |
| OTPを設定する | 設定する場合、ユーザーは、無料ワンタイムパスワードまたはGoogle Authenticatorアプリケーションのいずれかを使用して、モバイルデバイスにワンタイムパスワードジェネレータを設定する必要があります。ユーザーがワンタイムパスワードデバイスを設定した場合、そのデバイスはユーザーの資格情報管理セクションに表示されます。 |
| 電子メールの確認 | 設定すると、ユーザーはメールアドレスの確認が必要になります。 |
| プロフィール更新 | このアクションでは、ユーザーのプロフィール情報(名前、住所、電子メール、電話番号など)を更新するよう求めます。 |
管理者は、管理コンソールのユーザーの詳細タブで、個々のユーザーに対して必要なアクションを追加することができます。
属性¶
テクニカルサポートの指導なしに、このセクションを変更しないでください。
パスワードポリシー¶
デフォルトでは、パスワードポリシーは設定されていません。ユーザーは好きなだけ短いパスワード、長いパスワード、複雑なパスワード、安全でないパスワードを持つことができます。 これはテストには適していますが、実稼働環境での使用には適していません。 ZTEd IAM には、有効化できるパスワード・ポリシーの豊富なセットがあります。 ポリシーを追加するには、「認証」の左メニュー項目をクリックし、「パスワードポリシー」タブに移動します。右側のドロップダウンリストボックスで追加したいポリシーを選択します。これにより、画面上の表にポリシーが追加されます。ポリシーのパラメータを選択します。保存]ボタンをクリックして、変更内容を保存します。 ポリシーを保存すると、ユーザー登録とパスワードの更新が必要なアクションで、新しいポリシーが適用されます。ポリシーのチェックに失敗したユーザーの例。
パスワードポリシーが更新された場合、すべてのユーザーに対してパスワード更新アクションを設定する必要があります。
パスワードポリシーの種類¶
ここでは、対応する各ポリシーの種類を説明します。
HashAlgorithm : パスワードは平文で保存されません。その代わり、保存や検証の前に標準的なハッシュアルゴリズムでハッシュ化されます。組み込みのアルゴリズムは PBKDF2 です。
Digits : パスワード文字列に必要な桁数です。
Lowercase Characters : パスワード文字列に必要な小文字の数。
Uppercase Characters : パスワード文字列に必要な大文字の数です。
Special Characters : パスワード文字列に必要な、』?
Not Username : 設定すると、パスワードとユーザー名を一致させることができなくなります。
Not Email : 設定すると、パスワードとメールアドレスの一致を認めない。
Expire Password : パスワードの有効日数。日数が経過すると、パスワードの変更が必要になります。
Not Recently Used : このポリシーは、以前のパスワードの履歴を保存します。保存される古いパスワードの数は、設定可能です。ユーザーがパスワードを変更すると、保存されたパスワードは使用できなくなります。
Regular Expression : パスワードが一致しなければならない正規表現パターン(java.util.regex.Patternで定義)を1つ以上定義する。
パスワード設定時、入力されたパスワードが条件を満たさない場合、警告メッセージが表示されます。
ユーザーを検索する¶
特定のユーザーを管理するには、左のメニューバーで「ユーザー」をクリックします。このメニューオプションにより、ユーザー一覧ページが表示されます。検索ボックスに、ユーザーデータベースから検索したいフルネーム、ラストネーム、またはEメールアドレスを入力することができます。このクエリにより、条件に一致するすべてのユーザーが表示されます。View all usersボタンを押すと、システム内のすべてのユーザーが一覧表示されます。
注意
「すべてのユーザーを表示」をクリックしても空白のウィンドウが表示される場合は、LDAPへの接続が切断されている可能性があります。 LDAPサーバーへの接続が有効であることを確認してください。
これはローカルのデータベースだけを検索し、連携データベース(つまりLDAP)は検索しません。LDAPのようなバックエンドにはユーザーをページングする方法がないからです。もし、連携バックエンドのユーザーをIAMデータベースに同期させたい場合は、以下のどちらかを行う必要があります。
- 検索条件を調整します。これで条件に一致するバックエンドユーザーのみがIAMデータベースに同期されます。
- ユーザーフェデレーションタブを開き、フェデレーションプロバイダーとのページで「すべてのユーザーを同期する」または「変更したユーザーを同期する」をクリックします。
ユーザーを無効にする¶
ユーザーの詳細タブで「ユーザー有効」を選択すると、そのユーザーを無効にすることができます。
ZTEdgeクライアントをユーザー名/パスワードを有効にして使用した場合。
- ZTEdgeでユーザーを無効にすると、ユーザーはZTEdgeを使用できなくなりますが、IAMで管理されている他のサービスは使用できます。
- IAMでユーザーを無効にすると、すべてのサービス(ZTEdgeを含む)を使用できなくなります。
ZTEdgeクライアントをパスワードレスで使用する場合。
- ZTEdgeでユーザーを無効にすると、ユーザーはZTEdgeを使用できなくなり、IAMは影響を与えません。
- IAMでユーザーを無効にすると、ユーザーはIAMサービスを使用できなくなります(ZTEdgeはユーザー名/パスワードで認証せず、キーファイルのみで認証するため除外されます)。
4.4.4. SAML IdPの統合¶
SAMLおよびソーシャルログインIDプロバイダーとの連携¶
このセクションでは、一般的なサードパーティの SAML ベースの ID プロバイダを ZTEdge に統合するための一般的な手順を説明します。 サードパーティーのソリューションをカバーする内容は、予告なく変更されることがあります。
重要
SAML ID プロバイダを追加する前に、それが完全に機能していることを確認してください。 Ericom テクニカルサポートでは、サードパーティーの ID プロバイダーの設定に関するサポートは行っていません。
ZTEdge Federated IdPの構成について¶
外部 ID プロバイダを ZTEdge 用に設定したら、SAML メタデータを ZTEdge Federated IdP 設定にインポートします。
注意
SAML ユーザーは、ログイン時に ZTEdge IAM に動的に追加されます。 ユーザーを ZTEdge IAM に事前に追加することはできません。
ZTEdgeに名前、パスワード、メール、グループ属性を渡す¶
SAML レスポンスにユーザー名、パスワード、および電子メールの値がない場合、ユーザーはそれらを手動で入力するよう促されます。
これらの値は、外部のIDプロバイダからZTEdgeにそれぞれの属性を渡すことで、自動的にインポートすることができます。
IdPでは、属性(Case Sensitive)を渡します:
- username - ユーザー名属性
- email - ユーザーの電子メールアドレス属性
- firstName - ユーザーのファーストネーム属性
- lastName - ユーザーの姓の属性
- Federated-Groups - ユーザーのグループ属性(SWG/RB のグループの構成方法については、このノートを参照)以下は、SAML 応答の AttributeStatements の例:firstName、lastName、および email。
各アイデンティティプロバイダは、例えばJumpcloudのように、上記のそれぞれに対して異なる属性名を持ちます:
| ZTEdge アトリビュート名 | JumpCloudのアトリビュート名 |
| ファーストネーム | ファーストネーム |
| ラストネーム | ラストネーム |
| メール | メール |
| フェデレーション・グループ | ユーザーのグループを含む属性を選択する |
SAML レスポンスを表示して、構成された属性がエンドユーザーに渡されることを確認することができます。
SAMLユーザーをZTEdgeのグループに割り当てる¶
SAMLユーザーがZTEdgeにログインすると、ZTEdgeのグループに割り当てることができます。
SAMLユーザーをクリックし、「グループ」タブに移動します。
希望するグループ名を選択し、[参加]をクリックします。
選択したグループがグループメンバーシップエリアに移動し、「Success!」メッセージが表示されます。
SWG/RBIプロファイルとZTNAルールにグループを割り当てることができる。
Okta (SAML)¶
Oktaにログインし、「Create New App Integration」をクリックします。
SAML 2.0を選択し、「Create」をクリックします。
App Name(アプリ名)を入力(例:ZTEdge Access)します。
任意のロゴを入力し、[次へ]をクリックします。
SAML設定画面で、ZTEdge Redirect URIをSSO URLとAudience URIの両方にコピーします。
SSO URL : https://iam.ericomcloud.net/auth/realms/<TENANT_ID>/broker/<ALIAS>/endpoint
Audience URI : https://iam.ericomcloud.net/auth/realms/<TENANT_ID>/broker/<ALIAS>/endpoint
注意
<TENANT_ID>と<ALIAS>は実際の値で置き換えてください。
名前IDの形式 : メールアドレス
- 「次へ」をクリックします。
- Feedbackセクションに記入し、Nextをクリックします。
完了画面で「Identity Provider metadata」リンクをクリックすると、メタデータへの URL が表示されます。このURLはZTEdge IAMの設定に必要なのでコピーしてください。
SAML設定が表示されます。
- ZTEdgeを使用するユーザーにこのアプリケーションを割り当てます。
- 最後に、メタデータを「ZTEdge Federated IdP Configuration」セクションにインポートします。
Ping Identity (SAML)¶
Pingコンソールに管理者としてログインします。
[接続] - [アプリケーション]を選択します。
[アプリケーション]ページで、[アプリケーションの追加]をクリックします。
接続タイプの選択ページで、WEB APPを選択します。
SAMLを選択し、Configureをクリックします。
[アプリプロファイルの作成]ページで、[アプリケーション名]に名前(例:ZTEdge)を入力し、[次へ]をクリックします。
「SAML 接続の構成」ページで、以下のフィールドに入力する。
ACS URLSに、https://iam.ericomcloud.net/auth/realms/<TENANT_ID>/broker/<ALIAS>/endpointと入力します。
ENTITY IDに、https://iam.ericomcloud.net/auth/realms/<TENANT_ID>/broker/<ALIAS>/endpointと入力します。
注意
<TENANT_ID>と<ALIAS>は実際の値で置き換えてください。
ASSERTION VALIDITY DURATION」に、「300」と入力する。
ATTRIBUTE MAPPINGSに移動し、PINGONE USER ATTRIBUTEをUsernameに変更します。
その他のフィールドはデフォルト値のまま、[保存]をクリックします。
最後に、メタデータを「ZTEdge Federated IdP Configuration」セクションにインポートします。
Azure AD (SAML)¶
エンタープライズ・アプリケーションへ
新しいアプリケーションを作成します。
独自のアプリケーションを作成します。
アプリケーションにわかりやすい名前を付け、「他のアプリケーションと統合する」を選択します。
「シングルサインオンを設定する|始める」を選択します。
SAML基本構成で、構成します。
注意
<TENANTID>の代わりに、実際のテナントIDを入力してください。
Identitfier (Entity ID): https://iam.ericomcloud.net/auth/realms/<TENANTID>
返信先URL(ACS): https://iam.ericomcloud.net/auth/realms/TENANTID>/broker/<ALIAS>/endpoint
注意
<TENANT_ID>と<ALIAS>は実際の値で置き換えてください。
設定を保存して、メタデータファイルをダウンロードします(これはZTEdgeにインポートされます)。
アトリビュート・コンフィギュレーション¶
属性とクレームの編集
ZTEdge mapper の lastName、firstName、email、username の属性を以下のように設定します。
それぞれに必要なソース属性を選択することをお勧めします。
lastName = ユーザー名:姓
firstName = ユーザー名:名
email = ユーザーメールアドレス
username = ユーザー表示名(その他、UPNやユーザーメールアドレスもよく使われています。)
Federated-Groups = ユーザーのグループ属性
完成したコンフィギュレーションは次のように表示されます。
ユーザーアサインメント¶
[ユーザーとグループ]に移動し、[ユーザー/グループの追加]オプションを選択します。
ZTEdgeにログインできるユーザーを選択します。
- [Assign]をクリックして、設定を完了します。
- 最後に、メタデータを「ZTEdge Federated IdP Configuration」セクションにインポートします。
ADFS¶
ADFSのコンソールを開きます。
Add Relying Party Trustを選択します。
クレームアウェアを選択します。
信頼できる相手に関するデータを手動で入力するを選択します。
表示名(例:ZTEdge)を入力します。
「Configure URL」画面で「Enable support for SAML 2.0 WebSSO protocol」を選択し、サービスURLを入力します:
注意
<ZTEDGE-TENANT-NAME>の代わりに、実際のテナントIDを入力してください。
- 「次へ」をクリックし、"Relying party trust identifier "を設定します。
- ADFSとZTEdgeの間で一致する値、つまり「ZTEdge」を入力してください。
- アクセスコントロールポリシーの選択画面で、ZTEdgeを使用できるユーザー/グループを割り当てます。
- アプリケーションの作成を終了します。
マッパーを割り当てる¶
クレームは、ユーザーが認証された後、AD FSがRelying Partyに送信する属性である。クレームは、LDAP属性またはカスタム属性とすることができる。
Relying Partyを右クリックし、Edit Claims Issuance Policy…を選択します。
「ルールの追加…」をクリックします。
LDAP 属性については、「LDAP 属性を請求として送信」を選択します。同じルールで複数の LDAP 属性を定義することができます。
以下のルールを追加します:
| クレームルール名 | LDAPアトリビュート | 発信型クレームタイプ |
| 氏名ID | ユーザープリンシパル名 | 氏名ID |
| firstName | 名 | ファーストネーム |
| lastName | 姓 | ラストネーム |
| 電子メールアドレス | メール | |
| フェデレーション・グループ | グループ名を含む属性(例:Token-Groups - Unqualified Names) | フェデレーション・グループ |
設定を完了し、ZTEdge Federated SAML IdP の設定画面に SAML メタデータをインポートします。
ZTEdgeで設定を保存し、SAMLログインをテストします。
OneLogin(SAML)¶
SAMLアプリケーションを新規に追加し、設定画面へ進みます。
Audience、Recipient、ACSにZTEdgeのURIを入力します。
ACS URL Validatorの場合、各スラッシュ「/」の前にバックスラッシュ「♪」を追加します(以下の例を参照)
次に、「SSO」で「SAML Signature Algorithm」を「SHA-512」に変更し、Issuer URLをコピーします。
ZTEdgeの管理コンソールに戻り、oneloginの設定画面を一番下までスクロールします。
URLを「Import from URL」フィールドに貼り付ける
[インポート]、[保存]の順にクリックします。
OneLogin管理ポータルに戻り、ZTEdgeアプリケーションにユーザーが割り当てられていることを確認してから、ログインを試みます。
ユーザー設定画面|アプリケーション|追加と進み、ZTEdgeアプリケーションを選択します。
最後に「Parameters」で、以下のパラメータを追加します:
- firstName = ファーストネーム
- lastname = 名字
- Federated-Groups = ユーザーのグループ属性
これにより、ログイン時にユーザーの姓名とグループの値がOneLoginからZTEdgeにインポートされます。
- 最後に、メタデータを「ZTEdge Federated IdP Configuration」セクションにインポートします。
ジャンプクラウド(SAML)¶
ZTEdgeのコンフィギュレーション¶
ZTAdminにログインする
認証|Federated SAML IdP」に移動します。
Enabledをオン位置にトグルします。
名前の説明的なテキストを入力します(例:JumpCloud SSO)。
IdP ログイン URL:https://sso.jumpcloud.com/saml2/saml2 (最後の文字列は JumpCloud で一致する必要があります。)
IdP Audience:テナント名を入力します。
「内蔵Idp管理コンソールを開く」をクリックします。
Identity Providers | JumpCloudに移動し、これら2つの設定が有効になっていることを確認します:作成とHTTP-POSTバインドレスポンスを許可します:
これらの設定を有効にしないと、ユーザーにこのようなエラーメッセージが表示されます:
JumpCloudの構成¶
新しいSSOアプリケーションを追加します。
IdP Entity ID:ZTEdgeのAudienceと一致する必要があります。(例:tenname)。
ACS URL:https://iam.ericomcloud.net/auth/realms/ZTEDGE-TENANT-NAME/broker/saml/endpoint
注意
STOP - ZTEDGE-TENANT-NAMEを実際のテナント名に置き換えることを忘れないでください。
IDP の URL が ZTEdge IdP のログイン URL と一致することを確認します。
アトリビュート追加¶
- これらの属性を追加します(Case Sensitive):
| サービスプロバイダ 属性名 | JumpCloudのアトリビュート名 |
| ファーストネーム | ファーストネーム |
| ラストネーム | ラストネーム |
| メール | メール |
| フェデレーション・グループ | ユーザーのグループを含む属性を選択する |
設定を保存し、ログインをテストします。 ユーザーは、「JumpCloud」ボタンを選択してログインする必要があります。
最後に、メタデータを「ZTEdge Federated IdP Configuration」セクションにインポートします。
Google(ソーシャル)¶
ZTEdge IAMをGoogleで設定するには、Googleの管理画面にログインし、「APISとサービス|クレデンシャル」にアクセスします。
「認証情報の作成」を選択し、「OAuthクライアントID」を選択します。
アプリケーションの種類をWebアプリケーションに設定します。
注意
新しいアプリケーションを作成する前に、OAuthの同意画面を設定する必要がある場合があります。
名前を入力します:ZTEdge
認可されたリダイレクトURI:ZTEdgeリダイレクトURIの貼り付け
Client IDとsecretに 注意してください。これはZTEdge IAMの構成で必要です。
最後に、メタデータを「ZTEdge Federated IdP Configuration」セクションにインポートします。
miniOrange Xecurify (SAML)¶
新しいアプリを追加します。
SAMLを選択
カスタムSAMLアプリを選択
アプリケーションと名前を付け、SP Entity IDとAudience URI、ACS URLにZTEdge SAMLエンドポイントURLを入力します。
注意
<TENANT_ID>と<ALIAS>は実際の値で置き換えてください。
アプリ作成後、Metadataファイルをダウンロードします。
「SET MINIORANGE AS IDP」セクションの「Metadata URL」を開きます。
URLが開いたら、ZTEdgeで使用するため、コピーしてください。
最後に、メタデータを「ZTEdge Federated IdP Configuration」セクションにインポートします。
トラブルシューティング¶
- エラーメッセージ:ユーザーがログインするためのポリシーが見つかりません。
- ユーザーがアクセスできる ZTEdge SAML アプリケーションの App Login Policy を作成します。
- ポリシー|ユーザーポリシーマッピング」を開き、ZTEdge SAMLアプリケーションとユーザー名を選択することで確認します。
- [検索]をクリックすると、適用されたポリシーの結果が表示されます。
