Azure AD SAML設定

ここでは、認証用の外部ID プロバイダーとしてAzure AD をSafous ZTNA サービスに統合する方法について説明します。これを実施する前に以下を確認してください:

• Safous ZTNA SAMLの構成に関する基本情報を確認ください。
• 以下特権IDでAzure ADにアカウントを持つことを確認ください。
  • ロール管理者またはグローバル管理者
  • Enterprise アプリロールの読み取りと更新の権限
    
    

Azure AD Enterprise アプリケーションの設定:

1. Azure Active Directory > Enterprise Application に移動します。
   

2. "New Application"をクリックしてください。
   

3.  次に、「Create your own application 独自のアプリケーションを作成」をクリックします。 
   
4.  アプリ名に関する情報を記入し、「ギャラリーでは見つからない他のアプリケーション（Non-allery）を統合する」を選択します。Create をクリックします。
   
   
5. 「Single sign-on」に移動し、「SAML」をクリックします。
   
6.  次に、SAML を使用した新しいセットアップSingle Sign-On が表示され、編集をクリックします。
   
   
   
7.  基本的なSAML 設定が開き、「識別子の追加」が必要になります。Azure AD 上で固有の名称である限り、いかなる名称も許容されます。 
   
   
   
   
   
8. 同じBasic SAML Configuration で、"Add reply URL" も必要です。この項目には、テナントのユーザポータルによって提供されるコールバックURL を追加する必要があります。
   (例: https://login.<tenant>.ztna.safous.com/v1/auth/saml/1/callback)
   • 複数のSAML IDP がある場合は、URL の変更が必要になることがあります。これは後で管理者ポータルでも確認できます。
     
     
     
9.  Basic SAML Configuration を終了したら、"Save" をクリックします。 
   
10. これらすべてのバリュー値については、後で必要になるのでメモを取っておいてください。
     事業体ID = 事業体発行者 
    
    
     ログインURL = SSO URL 
    
    
    Azure AD 識別子= SSO 発行者
    
    
    証明書のダウンロード(Base64) = CA 信頼証明書
    
    
    
11. Username とEmail の属性マッピングを取得します。
    a. メタデータURL をコピーします。
    
    
    b. ブラウザで開きリンクを貼り付けてAzure AD 属性Claim のXML メタデータを開きます。
    
    
    c. 電子メールアドレスの請求（例：http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress）を見つけるまでスクロールダウンしてください。 
    
    
    
12. 最後に、"Users and groups" に移動してSAML 統合用に作成したEnterprise Application にUsers またはGroups を追加する必要があります。これにより、これらのユーザはSafous ZTNA User Portal にログインできます。
    
    
    
13. これで、Azure AD に必要なすべての構成が完了します。

Safous ZTNA テナント構成

1. https://portal.safous.comにログインするhttps://portal.safous.com/
2. Settings設定タブ> ZTNA に移動します。
3. Configurations,設定で、Identity Provider IDプロバイダを選択します。
4. 統合されたID プロバイダのリストが開きます。デフォルトでは、ローカルのみです。
   
5. 「New IDP 新しいIDP」をクリックします。
   
6. 名前を入力し、ステータスが有効(緑色)であることを確認します。
   
7. IDプロバイダ設定のSAMLを選択していることを確認します。
   
8.  Entity Issuerに、先ほどメモしておいたAzure ADのEntity ID事業体ID を入力します。
    
9.  SSO Issuer SSO 発行者に先ほどメモを取ったAzure AD からAzure AD Identifier を入力します。
   
10. SSO URLで先ほどメモを取ったLogin URL ログインURL を入力します。
    
11.  Username Attributeに先ほどメモを取った「ユーザ名属性」に入力します。
    
12.  Email Attributeに先ほどメモを取った「要求URL」を入力します。 
    
13.  CA TrustedCertificateに、先ほどメモを取った「ダウンロードした証明書(Base64) 値を入力します。 
    
14. その他のSafous ZTNA SAML構成については、こちらをご覧ください。
    
    
15. 設定が完了したら、Saveをクリックします。
    
16.  「Redirect URI」を再確認しても、統合したIDP のプラス(+) 記号をクリックして、Azure AD で設定したURI と同じであるかどうかを確認します。
    
    
17. 「Redirect URI」がまだ同じであれば、そのまま放置することができますが、そうではなく、1つのAzure ADを変更する必要があります。
    
    
18. すべてが正しく設定されている場合は、ユーザポータルhttps://users.<xxxx>.ztna.safous.com にログインし、「With IdP /IdP あり」にチェックを入れると、SAML 設定が表示されます。