ステップ1:Gluegent Gate で「IdP証明書」の取得
シングルサインオンの設定に必要な「IdP証明書」を取得します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左メニューの「システム」>「IdP証明書」の順にクリックします。
状態が「使用中」となっている証明書の「DL」アイコンをクリックします。
証明書ファイルがダウンロードされます。後ほど使用しますので、任意の場所に保存してください。
ステップ2:Zscaler で「シングルサインオン」の設定
Zscaler 側で「シングルサインオン」の設定を行います。
Zscaler 管理ポータル にアクセスし、管理者ID/パスワードでログインします。
左メニューの「管理」>「認可」をクリックします。
「IDプロバイダー」>「追加 IDプロバイダー」をクリックします。
以下の項目に必要事項を入力します。
- 名前
- 任意
- SAMLポータルURL
-
https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=<Gluegent GateテナントID>
※例えばテナントIDが「example」の場合は以下の URL となります。https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=exampleZscalerを複数テナント設定している場合は「&service=<サービスID>」を追加してください。サービスIDはユーザー>CSV登録にてご確認いただけます。
- ログイン名の属性
- NameID
- IdP SAML Certificate
- ステップ1でダウンロードしたIdP証明書をアップロードします。
- Enable SCIM-Based Provisioning
- スイッチをオンにします。
ステップ3:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate 側に Zscaler との「シングルサインオン」の設定を行います。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左メニューにて「シングルサインオン」>「クラウドサービス」の順にクリックします。
「登録」をクリックします。
Zscalerの操作アイコンをクリックします。
必要事項を入力します。
- シングルサインオンの設定
- チェックをオンにします。
- エンティティID
- SAML のエンティティ ID を入力します。
- Zscaler の ID プロバイダーの画面上に表示されています。
- Assertion Consumer Service
- Zscaler の Assertion Consumer Service の URL を入力します。
Zscaler の ID プロバイダーの画面の「SPメタデータをダウンロード」をクリックし、ダウンロードしたファイルをテキストエディタで開きます。
「md:AssertionConsumerService」属性に設定された URL を入力します。
- ユーザーIDの属性
- Zscaler のユーザーIDに使用する属性を選択します。
- ID同期
- チェックをオンにします。
- チェックをオンにすると Zscaler への ID 同期が有効になります。
- API URL
- Zscaler の ID プロバイダーの画面上に表示されている「ベースURL」の値を入力します。
- アクセストークン
- Zscaler の ID プロバイダーの画面上に表示されている「Bearer Token」の値を入力します。
「保存」をクリックします。
ステップ4:Gluegent Gateで「ユーザー」の新規登録
Gluegent Gate でユーザーを新規登録します。Zscaler にも自動的にユーザーが登録されます。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左メニューの「ユーザー」>「新規登録」の順にクリックします。
各項目を設定します。
- ユーザID
- Gluegent Gateのログイン画面で使用するIDです。
- 氏名
- 氏名に反映されます。
- メールアドレス
- メールアドレスを入力します。
- パスワード
- ログインのためのパスワードを入力します。
- 組織
- 部署・役職に反映されます。
- 許可するサービス
- 「Zscaler」のチェックをONにします。
「登録」をクリックします。
ステップ5:Gluegent Gateで「操作ログ」を確認
新規登録後、ログで正しくユーザーが登録されたかを確認します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左メニューの「ログ」>「システムログ」の順にクリックします。
ログファイルで「操作ログ」を選択し、「適用」をクリックします。
その他の検索項目は必要に応じて設定します。
Gluegent Gate への追加ログと Zscaler への追加ログが表示されます。
「(Zscaler)」が付いているものが Zscaler への追加ログです。
成功した処理は黒いテキスト、失敗した処理は赤いテキストで表示されます。
ステップ6:Gluegent Gateで「認証」の設定
認証ルール(本人確認のための処理)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左メニューの「認証」>「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:rule_web)
- 認証方法
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下の 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ7:Gluegent Gateで「アクセス権限」の設定
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
「アクセス権限」>「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:for_web)
- アクセス先のサービス
- 「Zscaler」のチェックをオンにします。
- 要求される認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ8:シングルサインオン(SSO)でのログインの確認
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
※ここでは Windows 版での例を示します。
Zscaler Client Connector がインストールされていれば、タスクバーにトレイアイコンが表示されます。アイコンを右クリック>「Open Zscaler」を選択します。
Zscaler の登録画面が表示されます。
作成したユーザーのメールアドレスを入力してログインします。
認証を行う Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- Gluegent Gate のユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、Zscaler に自動的に遷移します。遷移しない場合は画面上の「こちらへ」をクリックしてください。
Gluegent Gate が Zscaler にアクセス可能かを確認し、アクセス可能と判断されれば、Zscaler へのログインに成功します。