IIJ IDのSAML 設定

ここでは、認証用外部ID としてIIJ ID をSafous ZTNA サービスに統合する方法について説明します。実施に際しては以下の準備が揃っていることを確認してください:

  • 以下リンクで、Safous ZTNA SAML の構成に関する基本情報を確認ください。
  • ID Administrator Management 権限を持つIIJ ID のアカウントをご用意ください。

 

IIJID識別アプリケーションの設定:

  1. IIJ IDaaS ポータルにログインします。 
    image-png-May-30-2022-09-47-59-92-AM

  2.  ログイン後、Application > Application Managementに移動します。 
    image-png-May-30-2022-09-49-30-76-AM
  3.  アプリケーション管理Application Managementで、"Add Application" > "Add Custom Application"をクリックします。 
    image-png-May-30-2022-09-51-10-17-AM

  4.  タイプ選択でSAML Application オプションを選択し、"Next" をクリックしてください。
    image-png-May-30-2022-09-52-46-25-AM
  5. ページが開き、提供されているフォームに入力する必要があります。入力後、"Add Application"をクリックします。
    • Application nameは、あるアプリケーションを別のアプリケーションに区別するために必須なフィールドです。
    • Application description、このフィールドは、このアプリの目的または機能に関する情報をお伝えするために役立ちます。
    • Application logoはこれにより、アプリケーションのカスタムロゴを追加できます。
    • Select an ID provider を選択し、"Use application-specific entity ID"を選択してください。
      image-png-May-30-2022-10-03-33-06-AM
  6.  これで、新しく作成したアプリケーションが、Application Management画面に表示されます。次にアプリケーションの"edit" をクリックします。 
    image-png-May-30-2022-10-09-01-86-AM
  7.  アプリケーションの設定ページにリダイレクトされます。 Federation タブを選択する必要があります。 
    image-png-May-30-2022-10-53-54-03-AM
  8. SAML Basic Information では、これらのフォームを記入・選択する必要があります。
     
    • "Enter SAML Information" を選択します。
    • Single sign-on URL には、テナントのユーザポータルから提供されたコールバックURL (例: https://login.<tenant>.ztna.safous.com/v1/auth/saml/1/callback ) を入力する必要があります。
    • Entity IDは、エンティティ発行者が(Entity Issuer)としてのSafous ZTNA構成後に追加が必要なパラメータになるため、入力する必要があります。
    • NameID Format はbottom one (SAML 2.0) を選択します。
    •  Assertion signing algorithmは「RSA-SHA1」を選択します。 

      image-png-May-30-2022-10-57-16-21-AM
  9. 次に、Specifying User Identifier (NameID) で、ドロップダウンから"ID" を選択し、Attribute Mapping (User Attribute) で"Add Mapping" をクリックします。この画面ショットの、"Update"をクリックします。
    image-png-May-30-2022-11-06-20-21-AM
  10.  Application Userタブに移動し、"Add Application user"をクリックします。 
    image-png-May-30-2022-11-11-03-76-AM
  11.  Add Application User ページでは、ユーザーベースのユーザーまたはグループの追加を選択できます。 
    image-png-May-30-2022-11-14-28-33-AM
  12. 必要なユーザーやグループを追加したら、Display on my Applicationオプションで
    "Display the icon"を選択する必要があります。その後、"Add Application user"をクリックします。 
    image-png-May-30-2022-11-17-05-39-AM
  13.  追加したすべてのユーザーは、Application Userの詳細に表示されます。 
    image-png-May-30-2022-11-18-30-84-AM


  14. 次にID Provider タブに移動します。後にSafous ZTNA IdP 設定で必要になりますので、これらすべての値をメモしておいてください。

     ・ SSO Url であるSSO Endpoint URL (POST binding) 
    image-png-May-30-2022-11-22-53-76-AM

     ・  SSO 発行者であるEntity ID 
    image-png-May-30-2022-11-25-50-44-AM

     ・ CA TrustedCertificate であるPEM  
    image-png-May-30-2022-11-27-12-27-AM
  15. IIJ ID環境での設定とメモについては以上です。

 

Safous ZTNA テナント構成

  1. https://portal.safous.comにログインします。
  2. Settings > ZTNA に移動します。
  3. Configurationsで、Identity Provider を選択します。
  4. 統合されたID プロバイダのリストが開きます。デフォルトではローカルのみです。
    image-png-Apr-14-2022-05-29-35-66-AM
     
  5.  New IDPをクリックするとIDPのフォームが展開されます。 
    image-png-Apr-14-2022-05-33-36-41-AM
  6.  名前を入力し、ステータスが有効(緑色)であることを確認します。 
    image-png-Apr-14-2022-02-58-20-09-PM
  7.  ID プロバイダ設定のSAML を選択していることを確認します。 
    image-png-Apr-14-2022-05-34-35-37-AM
  8.  Entity Issuer欄に、あらかじめメモしておいたIIJ ID SAML Basic InformationEntity IDを入力します。 
    image-png-May-30-2022-11-30-30-53-AM
  9.  SSO Issuer欄に、事前にメモしておいたIIJ ID ProviderタブのEntity IDを入力します。
    image-png-May-30-2022-11-30-49-93-AM
  10.  SSO URL欄に、事前にメモをしておいたSSO Endpoint URL (POST binding) を入力します。 
    image-png-May-30-2022-11-34-51-56-AM
  11.  Username Attribute欄にメールを入力します。 
    image-png-May-30-2022-11-36-11-32-AM
  12.  Email Attribute欄にメールを入力します。 
    image-png-May-30-2022-11-36-49-18-AM
  13.  IIJ ID ID Provider タブのCA TrustedCertificate欄からPEM を入力します。
    image-png-May-30-2022-11-54-35-36-AM 
  14. その他、Safous ZTNA SAML構成については、こちらをご覧ください。
  15.  設定が完了したら、"Save"をクリックします。 
    image-png-May-30-2022-11-39-02-51-AM
  16.  統合したIDPのプラス(+)をクリックして、IIJ IDで設定した"Redirect URI"と同じかどうか再確認してください。 
    image-png-May-30-2022-11-39-58-76-AM
  17.  "Redirect URI" が同じであればそのままでOKですが、そうでない場合はIIJ IDを変更する必要があります。すべてが正しく設定されている場合は、ユーザポータルhttps://users.<xxxx>.ztna.safous.com にログインし、"With IdP"にチェックを入れると、SAML 設定が表示されます。 
    image-png-Apr-14-2022-06-08-13-26-AM image-png-May-30-2022-11-41-30-03-AM