icon-zwp.svg
Posture Control (ZPC)

SSO用SAMLの設定

ZPCをサービス プロバイダー(SP)として構成し、セキュリティ アサーション マークアップ言語(SAML)シングル サインオン(SSO)を使用して管理者をプロビジョニングおよび認証できますSAMLの詳細については、SAMLについてを参照してください。

前提条件

SAML用にZscalerサービスを構成する前に、アイデンティティ プロバイダー(IdP)からSAML IdP証明書を取得してください。IdP構成を追加しようとするときは、このIdP証明書をZPC Admin Portalにアップロードする必要があります。

SAMLの設定

ZPCを使用してSAMLベースのSSOを設定するには、次の手順を実行します。

    1. [管理]>[シングル サイン オン]の順にアクセスします。
    2. [IdP設定の追加]をクリックします。
    3. [XMLメタデータのダウンロード]をクリックします。

    XMLメタデータには、IdP設定の追加の際に送信する必要がある次の情報が含まれています。

    • Name Identifier Format:ZPCは名前IDの形式としてメールアドレスのみをサポートしています。
    • Entity ID:SAMLエンティティの一意な識別子。
    • アサーション コンシューマー サービス(ACS) URL: IdP によってSAMLレスポンスを送信する必要があるZPC宛先URL。
    閉じる

  • 関連する設定ガイドに従って、ZPCをIdPのSPとして設定します。

      1. Oktaに管理者権限でログインします。
      2. 左側のナビゲーション メニューで、[アプリケーション]をクリックします。
      3. [アプリ統合の作成]をクリックします。
      4. [SAML 2.0]を選択し、[次へ]をクリックします。
      5. [一般設定]タブで、アプリ名を入力し、[次へ]をクリックします。

      1. [SAML設定]で、次の操作を行います。
        • [シングル サインオンURL]では、ZPC Admin PortalからダウンロードしたXMLメタデータで提供されるACS URLを入力します。
        • [受信者URLと宛先URLにこれを使用する]のチェック ボックスをオンにします。
        • [オーディエンスURI(SPエンティティID)]に、ZPC Admin PortalからダウンロードしたXMLメタデータで提供されるエンティティIDを入力します。
        • [名前ID形式]ドロップダウンメニューから、[EmailAddress]を選択します。

      1. [次へ]をクリックします。
      2. [I'm an Okta customer adding internal app]を選択し、[Finish]をクリックします。
      3. [サイン オン]タブで、[セットアップ手順の表示]をクリックして、次の詳細を表示します。この情報は、IdP設定を追加するときに必要になるため、コピーして保存します。
        • アイデンティティ プロバイダーのSSO URL
        • IDプロバイダ発行者
        • X.509証明書

      詳細については、Oktaのドキュメンテーションを参照してください。

      閉じる
      1. PingOneに管理者権限でログインしてください。
      2. [接続]>[アプリケーション]に移動します。
      3. [アプリケーションの追加]をクリックし、[WEB APP]を選択します。
      4. 接続タイプとして、SAMLを選択します。

      1. [構成]をクリックします。
      2. [アプリケーション名]を入力し、[次へ]をクリックします。
      3. [メタデータのインポート]をクリックし、ZPC Admin PortalからダウンロードしたXMLメタデータをアップロードします。

      1. [Assertion Validation Duration]を入力し、[保存して閉じる]をクリックします。
      2. [PingOne User Attribute]ドロップダウンメニューから、[Family Name]を選択します。
      3. [保存して閉じる]をクリックします。
      4. アプリケーションを選択し、[Configuration]タブをクリックします。
      5. 次の詳細を含むメタデータをダウンロードします。IdP設定の追加するために必要な情報をコピーして保存します。
        • アイデンティティ プロバイダーのSSO URL
        • IDプロバイダ発行者
        • X.509証明書

      詳細については、PingOneのドキュメンテーションを参照してください。

      閉じる
      1. OneLoginに管理者権限でログインします。
      2. [アプリケーション]をクリックし、[アプリケーションの追加]をクリックします。

      1. SAMLを検索し、[SAML Test Connector (Advanced)]コネクタを選択します。
      2. [表示名]を入力し、[保存]をクリックします。
      3. [構成]タブで、次の操作を行います。
        • ACS(コンシューマー)URL:ZPC Admin PortalからダウンロードしたXMLメタデータで提供されるACS URLを入力します。
        • [ACS(コンシューマー)URLバリデータ]:次のURLを入力します。
      https:\/\/app.us.zpccloud.net\/auth\/saml\/acs
      • オーディエンス(エンティティID):ZPC Admin PortalからダウンロードしたXMLメタデータで提供されるエンティティIDを入力します。
      1. [SSO]タブに移動して、次の詳細を表示します。IdP設定の追加のために必要な情報をコピーして保存します。
        • アイデンティティ プロバイダーのSSO URL
        • IDプロバイダ発行者
        • X.509証明書

      SSOの構成の詳細については、OneLogin のドキュメンテーションを参照してください。

      閉じる
      1. 管理者特権でAzure広告ポータルにログインします。
      2. 左側のナビゲーション メニューで、[Azure Active Directory]を選択し、[エンタープライズ アプリケーション]を選択します。

      1. [新しいアプリケーション]>[独自のアプリケーションの作成]をクリックします。

      1. [独自のアプリケーションの作成]セクションで、次の操作を行います。
        • Azure広告で構成するアプリケーションの名前を入力します。
        • [ギャラリーにない他のアプリケーションを統合する]を選択します。
        • [作成]をクリックします。

      新しく作成されたアプリケーション ページが表示されます。

      1. 左側のナビゲーション メニューで、[シングル サインオン]>[シングル サインオンのセットアップ]を選択します。

      1. [基本的なSAML構成]セクションの[編集]をクリックします。

      1. [基本SAML構成]ウィンドウで、以下の操作を行います。
        • [識別子(エンティティID)]で[識別子の追加]をクリックし、ZPC管理ポータルからダウンロードしたXMLメタデータで提供されるエンティティIDを入力します。
        • [応答URL(アサーション コンシューマー サービスURL)]で、[応答URLの追加]をクリックし、ZPC管理ポータルからダウンロードしたXMLメタデータで提供されるACS URLを入力します。

      1. 保存 をクリックします。

      SAML設定が正常に保存されたことを示すメッセージが表示されます。

      次に、ユーザーをアプリケーションに追加する必要があります。

      1. アプリケーション ページに戻ります。
      2. 左側のナビゲーション メニューで、[ユーザーとグループ]>[ユーザー/グループの追加]を選択します。

      1. [割り当ての追加]のページで、[ユーザーとグループ]をクリックしてユーザーのリストを表示します。
      2. ユーザーの名前を入力するか、特定のユーザーを検索します。

      1. [選択]をクリックします。ユーザーが選択されます。

      1. [割り当て]をクリックします。ユーザーがアプリケーションに割り当てられます。
      2. 次に、[ユーザーとグループ]をもう一度クリックします。
      3. [要求の管理]ページで、次の操作を行います。
        • [名前識別子の形式]で、ドロップダウン メニューから[電子メール アドレス]を選択します。
        • [ソース属性]で、ドロップダウン メニューから[user.mail]を選択します。

      1. 保存 をクリックします。

      詳細は、Microsoftのドキュメンテーションを参照してください。

      閉じる
      1. CyberArk Identity Admin Portalにログインします。
      2. 左側のナビゲーションで、[アプリとウィジェット]>[Webアプリ]に移動します。
      3. [Webアプリの追加]をクリックします。

      1. Webアプリの追加画面で、[カスタム]タブを選択します。
      2. SAMLアプリを検索し、[追加]をクリックします。

      1. 表示される確認ウィンドウで、[はい]をクリックします。

      SAML Webアプリが追加されます。

      1. アプリケーション カタログを閉じます。

      追加したSAML Webアプリの設定ページが開きます。

      1. SAML Webアプリの名前と説明を入力します。
      2. 保存 をクリックします。

      IdPの設定

      1. SAML Webアプリ ページの左側ナビゲーションで、[信頼]を選択してIdP構成をセットアップします。
      2. [手動構成]を選択します。
      3. 矢印をクリックして、IdPエンティティID/発行者フィールドと証明書の署名フィールドを表示します。
        1. エンティティIDをコピーして保存します。この値は、認証しようとしているIdPを識別するためにSAMLアサーションで使用されます。
        2. 署名証明書をローカル システムにダウンロードします。この証明書は、CyberArk IdentityとZPC間の安全なSSO認証に使用されます。
        3. シングル サインオンURLをコピーして保存します。ZPCはこのURLを使用して、SAML SSOのCyberArk Identityに通知します。

      1. 保存 をクリックします。
      2. ZPC Admin Portalにログインし、、IdP構成を追加します。手順3でコピーした値を使用して、IdPを設定します。

      サービス プロバイダーの設定

      次に、CyberArk Identity Admin PortalでZPCをサービスプロバイダーとして設定する必要があります。

      1. SAML Webアプリ ページの左側ナビゲーションで、[信頼]を選択します。
      2. 下にスクロールして、サービス プロバイダーの設定を表示します。
      3. [手動構成 ]を選択し、次のように入力します。
        • [SPエンティティ/ID/オーディエンス]:ZPC Admin PortalでIdP構成を追加するときにダウンロードしたXMLメタデータファイルで提供されるエンティティIDを入力します。
        • [アサーション コンシューマー サービス(ACS)のURL:ZPC Admin PortalからダウンロードしたXMLメタデータファイルに記載のURLを入力します。
        • [NameID形式]:デフォルトでは、形式は未指定です。この値を保持します。

      1. 保存 をクリックします。

      SAML Webアプリのステータスが展開の準備完了に変わります。

      SAMLレスポンスのセットアップ

      1. SAML Webアプリ ページの左側ナビゲーションで、[SAMLレスポンス]を選択して、ZPCからSAML属性に属性をマップします。
      2. 追加 をクリックします。
      3. 次の属性を入力します。
      属性名 属性値
      http://schemas.xmlsoap.org/claims/Group [編集]アイコンをクリックし、ドロップダウン リストから[LoginUser]を選択します。次に、リストから[RoleNames]を選択します。
      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress [編集]アイコンをクリックし、ドロップダウン リストから[LoginUser]を選択します。次に、リストから[RoleNames]を選択します。
      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name [編集]アイコンをクリックし、ドロップダウン リストから[LoginUser]を選択します。リストから[DisplayName]を選択します。

      1. 保存 をクリックします。
      2. 下にスクロールして[SAMLレスポンスのプレビュー]をクリックし、属性が正しくマップされているかどうかを確認します。

      ロールの追加

      ロールを追加し、このロールにユーザーを割り当てる必要があります。

      ロールは、CyberArk Iadaptiveのグループとして機能します。

      ロールを追加するには、次の操作を行います。

      1. CyberArk Identity Admin Portalの左側ナビゲーションで、[ロール]を選択します。
      2. [ロールの追加]をクリックします。

      1. ロールの名前を入力し、次いで[保存]をクリックします。

      新規に追加されたロールがロールページに表示されます。

      1. ロール名をもう一度クリックしてロールのページを表示し、このロールにユーザーを割り当てます。
      2. [メンバー]を選択し、[追加]をクリックします。

      1. 追加するユーザーを検索します。必要なユーザーのチェックボックスを選択し、[追加]をクリックします。

      ユーザーを作成するときは、ログイン名がユーザーのメール アドレスと同じであることを確認します。

      そうでない場合、SAML認証は失敗します。

      1. 保存 をクリックします。

      これで、ユーザーはこのロールの一部になりました。

      ロールへの権限の割り当て

      SAMLアプリケーションにアクセスするためのアクセス許可をロールに割り当てる必要があります。

      1. SAML Webアプリ ページの左側ナビゲーションで、[許可]を選択します。
      2. 追加 をクリックします。

      1. 表示されるポップアップ ウィンドウで、ロールを検索します。

      ロールが表示されます。

      1. ロールのチェックボックスを選択し、[追加]をクリックします。

      これらの手順を完了すると、ユーザーはSAML SSOを使用してZPC Admin Portalにログインできます。詳細については、CyberArkのドキュメンテーションを参照してください。

      閉じる
    閉じる

  • 1つのテナントに対して1つのIdP設定を追加できます。詳細については、IdP設定の追加を参照してください。

    閉じる

  • SAMLベースの認証を設定した後、ZPCに管理者を追加する必要があります。詳細については、管理者についてを参照してください。

    閉じる

SAML JITプロビジョニングの設定

SAMLジャストインタイム(JIT)プロビジョニングを有効にして、ZPCがSAMLレスポンスから名やロール名などのユーザーに関連する情報を自動的に取得できるようにすることができます。ユーザーがデータベースに存在しない場合、ユーザーはロール情報と共にデータベースに追加されます。この新しいユーザーがアクティブ化され、ZPC Admin Portalにアクセスできます。

JITは、IDPによって開始されたSSO経由でログインした場合にのみ機能します。

SAML JITプロビジョニングを構成する前に、まずZPC管理ポータルでグループを作成し、同じグループ名をIdPに追加して、このグループにユーザーを割り当てます。あるいは、IdPポータルに既存のグループがある場合は、ZPC管理ポータルに同じグループ名を追加します。既存のIdP グループのすべてのユーザーがZPCにプロビジョニングされます。このステップは、構成中のエラーを回避するために必須です。

IdPグループはZPC グループよりも優先されます。ユーザーが両方のグループに属している場合は、IdPグループにログインします。

ZPCでSAMLジャストインタイム(JIT)プロビジョニングを構成するには、ZPC Admin PortalでJITを有効にする必要があります。

  1. [管理]>[シングル サイン オン]の順にアクセスします。
  2. [シングル サイン オン]ページで、IdPの[編集]アイコンをクリックします。
  3. [JITの有効化]の下のチェック ボックスを選択します。
  4. 保存 をクリックします。

OktaPingOneOneLoginAzure ADの関連する構成ガイドに従って、ZPCをIdPのSPとして構成します。

関連記事s
SAMLについてSSO用SAMLの設定IdP設定についてIdP設定の追加IdP設定の編集または削除