icon-deception.svg
デセプション

シングルサインオン用のSAMLの設定

Zscalerでは、ZIdentity管理ポータルを使用してプライマリーおよびセカンダリー外部アイデンティティー プロバイダー(IdP)を構成することを推奨します。ZIdentityは、SAMLとOpenIDの両方の構成をサポートしています。Zscalerサポートに連絡して、ZIdentityにサブスクライブしてください。

Zscaler デセプションの管理ポータルをサービス プロバイダー(SP)として設定し、SAMLシングル サインオン(SSO)を使用して、ユーザーの認証とプロビジョニングを行うことができます。

SSO用にSAMLを構成する前に、SAML IDプロバイダー(IdP)メタデータXMLファイルをダウンロードしてください。

SSO用SAMLの設定

SAMLベースのSSOを設定するには、次の手順を実行します。

  1. [設定]>[ユーザーと役割]>[SSO]に移動します。
  2. [プロバイダーの追加]をクリックし、ドロップダウン メニューから[SAML]を選択します。

  1. [SAMLプロバイダーの詳細]ウィンドウで、次のようにします。
    1. [名前]: SAML統合の名前を入力します。
    2. 有効:SAMLプロバイダーを有効にする場合に選択します。
    3. 暗号化:IdPが暗号化された形式でSAMLアサーションを送信できるようにする場合に有効にします。IdPが暗号化をサポートしている場合にのみ有効にします。
    4. [Sign GET Request]:これを有効にすると、デセプションの管理ポータルが署名付きSAMLリクエストをIdPに送信できるようになります。IdPが署名付きリクエストをサポートしている場合にのみ有効にします。
    5. [専用証明書を使用]:これを有効にすると、デセプションの管理ポータルは、有効期間の長い自己署名証明書を作成し、管理ポータルの証明書の代わりにSAMLプロバイダー用に使用できます。

デセプションの管理ポータルでは、有効期限が90日のLet's Encrypt証明書を使用します。Zscalerでは、[専用証明書を使用]を有効にして、SAML認証専用の有効期間の長い証明書を生成することを推奨します。

  1. [アップロード]をクリックして、IdPSAML 2.0メタデータXMLファイルをアップロードします。

  1. 保存 をクリックします。

SAMLプロバイダーが[SSO]テーブルに追加されます。

IdPの設定を完了するには、SAMLのセットアップ手順と暗号化証明書が必要です。

SAMLセットアップ手順の取得

SAMLセットアップ手順の詳細を表示し、暗号化証明書をダウンロードするには、次の操作を行います。

  1. [設定]>[ユーザーと役割]>[SSO]に移動します。
  2. SAMLプロバイダーを選択し、[編集]をクリックします。
  3. [ SAML プロバイダーの詳細] ウィンドウで、[ セットアップ手順] セクションまで下にスクロールして、次の操作を行います。
    1. サービス プロバイダーのエンティティ ID を表示します。
    2. サービス プロバイダーのアサーション URL を表示します。
    3. 暗号化証明書をダウンロードします。
    4. XMLファイルをダウンロードします。

IdPを構成したら、SAML認証統合を使用してサインインし、構成をテストできます。

サインインページ

閉じる

グループベースのSAMLログインの構成

Zscaler デセプションを使用すると、SAMLレスポンスに1つ以上の定義済みグループ属性が含まれている場合に、新しいユーザーを作成し、ロールを割り当てることができます。グループ マッピングは累積的です。ユーザーが複数のグループに属している場合、ユーザーには各グループに一致するロールが割り当てられます。

グループベースのSAMLログインの構成中に、どのグループにも属していない場合は、ロールは取り消され、認証中に自分自身をロック アウトできます。ユーザー名とパスワードを使用してスーパー管理者権限を持つ2番目のアカウントがあることを確認し、統合のテストが完了するまでSAMLを使用してそのアカウントにログインすることはしないでください。

SAMLグループのプロビジョニングを設定するには、次の操作を行います。

  1. [設定]>[ユーザーと役割]>[SSO]に移動します。
  2. IdP用に構成したSAML構成を選択します。
  3. [SAMLプロバイダーの詳細]の[グループベースのSAMLログイン]セクションで、次の操作を行います。
    1. [ユーザーを自動作成]:これを有効にすると、指定したグループのユーザーがデセプションの管理ポータルで自動的に作成されます。
    2. SAMLレスポンスグループ属性:SAMLレスポンスのグループ名に使用される属性の名前を入力します(この値はIDプロバイダーによって異なります)。
    3. SAMLレスポンス名属性:SAMLレスポンスのユーザー名に使用される属性の名前を入力します(この値はIDプロバイダーによって異なります)。
    4. [ 追加 ] をクリックしてグループを追加し、各グループのロールを選択します。
      1. SAMLレスポンスに表示される[グループ名]を入力します。
      2. SAMLレスポンスに対応するグループを持つユーザーに割り当てる[ロール]を1つ以上選択します。

  1. 保存 をクリックします。

SAMLグループベースのログイン機能を使用してユーザを作成した場合、ユーザ名とパスワードを使用してログインする機能はデフォルトで無効になります。

一致するグループがないユーザの場合、そのユーザにはロールがなく、ログインできません。

ユーザーがSAMLを使用してサインインするたびに、ユーザーがグループベースのSAMLログインを使用して手動で作成されたか自動で作成されたかに関係なく、ロールが更新されます。

関連記事s
シングルサインオン用のSAMLの設定Oktaシングル サインオン用のSAMLの構成Microsoft Azureアクティブ ディレクトリー シングル サインオン用のSAMLの設定Active Directoryフェデレーション サービス用のSAMLの構成SAML IdP構成の編集または削除