SAML認証によるログイン
SAML認証
ユーザーはSAML認証でNetwork Configuration Managerにログインすることができます。
サインイン中にリクエストがIdPに送信され、ユーザーの認証情報がチェックされます。
その後、SP(=Network Configuration Manager)に応答を返し、ユーザーはログインできるようになります。
例として、SAML認証を有効にすると、IdP側のSSOログインページに接続するオプションを利用できるようになります。
サインインすると、ユーザーは、Network Configuration Managerにリダイレクトされ、製品にログインできるようになります。
ユーザーを認証できない(サインインできない)場合には、アクセスが拒否されます。
サービスプロバイダー(SP)設定
Network Configuration ManagerとIdPを連携するために設定します。
[SAML]認証画面を表示すると、以下の各情報のリンクが表示されます。
- エンティティID
- アサーションコンシューマーURL
- シングルサインオンログアウトURL
- SP証明書ファイルのダウンロード
- SPメタデータファイルのダウンロード
各IdP間とのSAML認証設定方法は以下を確認してください。
Identity Provider(IdP)の詳細設定
SAML IdPから提供される各情報を設定します。設定方法には以下の2つがあります。
- IdPメタデータファイルをアップロードする
- IdP情報を手動で設定する
IdPメタデータファイルをアップロードする
IdPのメタデータファイルがある場合には、Network Configuration Managerにアップロードします。
- [IdPメタデータファイルをアップロードする]にチェック
- [IdP]名を入力
- [IdPメタデータファイルのアップロード]で[参照]をクリックし、メタデータファイルを選択
IdP情報を手動で設定する
IdP情報を入力します。
- [IdP情報を手動で設定する]にチェック
- 以下の各情報を入力、設定
- IdP名
- IdPログインURL
- IdPログアウトURL
- IdP証明書
各IdP間とのSAML認証設定方法
Okta
- 「www.okta.com」にアクセスし、Oktaにログイン
Adminタブをクリックし、「Applications」に移動
- 「Create a new app integration」をクリックし、「SAML2.0」を選択後、[Next]
- 「App Name」でサービスプロバイダー(SP)名を入力し、[Next]
- Network Configuration Managerの[SAML]認証画面を開き、エンティティIDとアサーションコンシューマーURLをコピー
- Okta画面で、「Name ID format」に"Persistent"または"Transient"を選択し、手順4でコピーした情報を入力し、「Next」
※Oktaでは、シングルログアウトはオプションです。必要に応じて、設定してください。
- 「I’m a software vendor. I’d like to integrate my app with Okta」を選択し、「Finish」をクリック
- 「Applications」→「Applications」画面で、「View Setup Instructions」をクリックし、以下の各内容をコピー
・Identity Provider Single Sign-on URL
・Identity Provider Single Logout URL
・Identity provider Issuer
・X.509 Certificate
- コピーした内容をNetwork Configuration Managerの[Identity Provider(IdP)の詳細設定]の各項目にペースト
- 「Applications」→「Applications」画面で、「Assign」→「Assign to People」をクリックし、ユーザーを作成したサービスプロバイダー(SP)も割り当て、「Save and Go Back」をクリック
上記設定後、Network Configuration ManagerのIdP設定を保存してください。両サイドの設定が完了し、SAML認証を有効化すると、Okta経由の認証ができるようになります。
Network Configuration Managerのログイン画面で、「Login with Okta(Oktaを使用してログイン)」を選択し、ログインを行います。
Microsoft ADFS
- 「AD FS management」を開き、「Add Relying Party Trust」をクリック
- Network Configuration Managerの[SAML]認証画面で、SP証明書とSPメタデータファイルをダウンロードし、エンティティIDとアサーションコンシューマーURLをコピー
- ADFS画面で、「Start」をクリックし、「Import data about the relying party from a file」を選択し、メタデータファイルをアップロード。その後「Next」
手動で設定する場合には以下の手順を実施します。
- ADFS画面で、「Start」をクリックし、「Enter data about the relying party manually」を選択し、メタデータファイルをアップロード。その後「Next」
- 「Choose Profile」画面で「AD FS profile」を選択し、「Next」
- 「Enable support for SAML 2.0 WebSSO protocol」を選択し、サービスプロバイダー(SP)のURLを入力。その後「Next」
- Network Configuration Managerの画面でコピーしたエンティティIDを「relying party trust identifier」の項目にペースト。その後「Next」
- 「 I do not want to configure multi-factor authentication settings for this relying party trust at this time」を選択し、「Next」
- 「Permit all users to access this relying party」を選択し、「Next」
- 「Open the Edit Claim Rules dialog for this relying party trust when the wizard closes」を選択し、「Close」
- 「Click on」をクリックし、ドロップダウンから「Transform an Incoming Claim」を選択し、「Next」
- 「Claim rule name」を任意に入力し、以下の項目を選択後「Finish」。その後、「Apply」
・Incoming claim type:Windows account name
・Outgoing claim type:Name ID
・Outgoing name ID format:Transient Identifier
・Pass through all claim values
- ADFSからXMLファイル「Federation Metadata」をダウンロード
URLに「FederationMetadata/2007-06/FederationMetadata.xml」を追加することで入手できます。
例:ADFSサーバーのFQDNが「dc.com」の場合、「https://dc.com/federationmetadata/2007-06/FederationMetadata.xml」 - Network Configuration Managerの[SAML]認証画面の[IdPメタデータファイルをアップロードする]より、入手したXMLファイルを選択し、アップロード
上記設定後、SAML認証を有効化すると、ADFS経由の認証ができるようになります。
Network Configuration Managerのログイン画面で、「Login with AD FS(AD FSを使用してログイン)」を選択し、ログインを行います。
Azure SSO
Azure SSOの仕様にもとづき、SSL通信を有効にする必要があります。
SSL通信の有効化方法はこちらのページをご確認ください。
- Azureアカウントにログインし、「Azure Active Directory」を選択
- 「Enterprise applications」をクリックし、「New Application」→「Create your own Application」を選択
- 「What's the name of your app?」配下でアプリケーション名を任意に入力し、「Create
- 「 Single sign-on」から「SAML」を選択
- Network Configuration Managerの[SAML]認証画面で、エンティティID、アサーションコンシューマーURL、シングルサインオンログアウトURLをコピー
その後、Azure画面「Basic SAML Configuration 」の「Edit」からコピーした情報を入力
- 「Attributes & Claims」の項目で「Edit」をクリックし、「Unique User Identifier name (Name ID)」を選択
- Name Identifier formatとして「Persistent」を、Source Attributeとして「Display Name」を選択
- 「SAML Signing Certificate 」の項目で、XMLファイル「Federation Metadata」をダウンロード
- Network Configuration Managerの[SAML]認証画面の[Identity Providerの詳細設定]で、ダウンロードしたメタデータファイルをアップロードし保存
その後、SAMLシングルサインオンを有効化 - Azure画面で、「Users and groups」を選択し、ユーザーを「Assign」
上記設定後、Azure経由の認証ができるようになります。
Network Configuration Managerのログイン画面で、「Login with Azure(Azureを使用してログイン)」を選択し、ログインを行います。
JumpCloud
- JumpCloudにログインし、左のサイドメニューより「SSO」をクリック
- 追加アイコンをクリックし、「Custom SAML App」を選択
- 「Display Label 」を入力し、「Activate」をクリック
- Network Configuration Managerの[SAML]認証画面でSP証明書ファイルとSPメタデータファイルをダウンロード。エンティティIDとアサーションコンシューマーURLをコピー
- JumpCloud画面の「SSO」タブで、ダウンロードしたSPメタデータファイルをアップロード
- SAML Subject NameIDを「username」、Persistentを「SAML Subject NameID Format」を選択し、「Activate」
- 「export metadata」からメタデータファイルをダウンロード
その後、Network Configuration Managerの[SAML]認証画面の「Identity Providerの詳細設定」でアップロード
- 「User Group」から「All Users」を選択し、保存
上記設定を行いSAML認証を有効化すると、JumpCloud経由の認証ができるようになります。
Network Configuration Managerのログイン画面で、「Login with JumpCloud(JumpCloudを使用してログイン)」を選択し、ログインを行います。
OneLogin
- OneLoginにログインし、「Applications」タブを表示
- 「SAML Custom Connector (Advanced)」を選択
- 「Configuration」メニューより、「Display Name」を入力して保存
- Network Configuration Managerの[SAML]認証画面で、エンティティIDとアサーションコンシューマーURL、シングルサインオンログアウトURLをコピー
- OneLogin画面で、「Audience (EntityID)」と「ACS (Consumer) URL Validator」、「ACS (Consumer) URL」、「Single Logout URL」の項目に、コピーしたURLを入力し保存
- Name ID formatに「Persistent」を選択し保存
- 「Info」メニューで「More Actions」をクリックし、「SAML Metadata」よりメタデータファイルをダウンロード
- Network Configuration Managerの[SAML]認証画面の[Identity Providerの詳細設定]で、ダウンロードしたメタデータファイルをアップロード
- SAML認証を有効化し、OneLoginの「SSO」メニューから必要な情報をコピー
- 「Parameters」メニューで「Configured by admin」を選択し、「Edit Field NameID value」に「Username」を指定し保存
上記設定を行い、OneCloud経由の認証ができるようになります。
Network Configuration Managerのログイン画面で、「Login with OneLogin(OneLoginを使用してログイン)」を選択し、ログインを行います。