ステップ1:Zscaler でドメイン登録、所有権確認
Zscaler Private Access にて、ドメイン登録情報・所有権を確認します。
Zscaler Private Access の Zscaler 管理ポータルにアクセスし、管理者IDでログインします。
左メニューの「Administration」>「Settings」をクリックします。
ドメイン情報が正しく表示されていることを確認します。
SAMLによるシングルサインオンの設定はこのドメインが単位となります。
ステップ2:Gluegent Gate で「IdPメタデータ」の取得
Zscaler Private Access を SAML SP、Gluegent Gate を SAML IdP としてシングルサインオンを設定するにあたり、Gluegent Gate の「IdPメタデータ」を取得します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左メニューの「シングルサインオン」>「SAML」をクリックします。
設定をクリックし、「ダウンロード」をクリックします。
ダウンロードされたファイルは後ほど使用しますので、任意の場所に保存してください。
ステップ3:Zscaler で「IdP」の登録
Zscaler Private Access に Gluegent Gate をIdPとして登録・設定します。
Zscaler Private Access の Zscaler 管理ポータルにアクセスし、管理者IDでログインします。
左メニューから「Administration」>「IdP Configuration」をクリックします。
「Add IdP Configuration」をクリックします。
表示されたウィンドウにて設定を行います。
① IdP Information
- Name
- シングルサインオンを行うIdPの名前を登録します。識別しやすい名前を入力します。(例:GLG)
- ※Name には .(ドット)、-(ハイフン)、_(アンダーバー)は使用できません
- Single Sign-On
- シングルサインオン対象となるユーザー属性を選択します。一般ユーザーのログインを SSO する場合は、User を選択します。
- Domains
- Gluegent Gate でシングルサインオンを行うドメインを選択します。
設定完了後、「Next」をクリックします。
② SP Metadata
- Service Provider Metadata
- メタデータをダウンロードします。ダウンロードしたメタデータは Gluegent Gate 側で使用します。
- Service Provider Certificate
- Zscaler Private Access の証明書です。今回は使用しません。
- Service Provider URL
- Zscaler Private Access の ACS です。テキストエディタ等に控えておきます。
- Service Provider Entity ID
- Zscaler Private Access のエンティティ ID です。テキストエディタ等に控えておきます。
設定完了後、「Next」をクリックします。
③ Create IdP
- Name
- IdP Information で設定した名前が表示されます。
- IdP Metadata File
- ステップ2で Gluegent Gate 管理画面にてダウンロードした IdP メタデータファイルをアップロードします。
- IdP Certificate
- IdP Metadata File アップロード後に自動的に設定されます。
- 正しく設定されない場合は、Gluegent Gate 管理画面の「システム」>「IdP証明書」にて使用中となっている IdP証明書をダウンロードし、ここにアップロードします。
- Single Sign-On URL
- IdP Metadata File アップロード後に自動的に設定されます。
- 正しく設定されない場合は以下のURLを入力します。
https://auth.gluegent.net/saml/saml2/idp/SSOService.php/<Gluegent GateのテナントID>
※例えばテナントIDが「example」の場合は以下の URL となります。https://auth.gluegent.net/saml/saml2/idp/SSOService.php/example
- IdP Entity ID
- IdP Metadata File アップロード後に自動的に設定されます。 正しく設定されない場合は以下のEntity IDを入力します。
https://slink.secioss.com/<Gluegent GateのテナントID>
※例)テナントIDが「example」の場合https://slink.secioss.com/example
- Status
- Enabled を選択します。
- ZPA(SP) SAML Request
- Signed を選択します。
- HTTP-Redirect
- Enabled を選択します。
- Domains
- IdP Informationで設定したドメインが表示されます。
設定完了後、「Save」をクリックします。
ステップ4:Gluegent Gate に「SAML サービスプロバイダー」の登録
Gluegent Gate にて Zscaler Private Access を SAML SP として登録します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左ニューの「シングルサインオン」>「SAML」をクリックします。
画面右上の「登録」をクリックします。
サービスID(例:ZPA)、サービス名(例:Zscaler Private Access)を入力します。
メタデータにて Zscaler Private Access の設定画面でダウンロードした SP Metadata ファイルを選択し「読み込む」をクリックします。
メタデータの読み込みが完了すると自動的に各設定値に反映されます。
設定された内容を確認します。
- エンティティID
- Zscaler Private Access 設定画面で控えた Service Provider Entity ID と同一であることを確認します。
- Assertion Consumer Service
- Zscaler Private Access 設定画面で控えた Service Provider URL と同一であることを確認します。
- IDの属性
- 「urn:oasis:names:tc:SAML:2.0:nameid-format:persistent」が選択されていることを確認します。
- ユーザーIDの属性
- 「メールアドレス」が選択されていることを確認します。
-
情報:
「ユーザーIDの属性 = メールアドレス」設定に合わせて、Zscaler の設定にて「username = メールアドレス」となるようにする必要があります。
- 送信する属性
- すべての項目を選択します。追加属性が設定されている場合は必要に応じてチェックします。
「保存」をクリックします。
ステップ5:Zscaler で「属性値 」を確認
Zscaler Private Access で、認証連携(SSO)で交換する属性値を確認します。
(ステップ4で Zscaler から Gluegent Gate にインポートした設定の確認となります。)
Zscaler Private Access の Zscaler 管理ポータルにアクセスし、管理者IDでログインします。
左メニューから「Administration」>「IdP Configuration」をクリックします。
表示されたリストから Gluegent Gate の設定値を選択します。
表示された設定画面の中段「SAML Attributes」をクリックします。
画面表示されている値とステップ4にて「Gluegent Gate の SAMLの設定」でチェックした「送信する属性」が一致しているかどうかを確認します。
ステップ6:Gluegent Gateで「ユーザー」の新規登録
Gluegent Gate でユーザーを新規登録します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左メニューの「ユーザー」>「新規登録」の順にクリックします。
各項目を設定します。
- ユーザID
- Gluegent Gate のログイン画面で使用するIDです。
- 氏名
- 氏名に反映されます。
- メールアドレス
- メールアドレスを入力します。
- パスワード
- ログインのためのパスワードを入力します。
- 組織
- 部署・役職に反映されます。
- 許可するサービス
- 「Zscaler」のチェックをONにします。
「登録」をクリックします。
情報:
Zscaler Private Access では、Zscaler 側のユーザー作成は別途操作を行う必要があります。
Zscaler 管理ポータルにログインしてユーザー登録を行なってください。
ステップ4での設定内容である「ユーザーIDの属性 = メールアドレス」設定に合わせて、Zscaler 側の設定でも「username = メールアドレス」となるようにしてください。
ステップ7:Gluegent Gateで「操作ログ」を確認
登録後、ログで正しくユーザーが登録されたかを確認します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左メニューの「ログ」>「システムログ」の順にクリックします。
ログファイルで「操作ログ」を選択し、「適用」をクリックします。
その他の検索項目は必要に応じて設定します。
Gluegent Gate への追加ログが表示されます。
成功した処理は黒いテキスト、失敗した処理は赤いテキストで表示されます。
ステップ8:Gluegent Gateで「認証」の設定
認証ルール(本人確認のための処理)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
左メニューの「認証」>「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:rule_web)
- 認証方法
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下の 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ9:Gluegent Gateで「アクセス権限」の設定
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスし、管理者IDでログインします。
「アクセス権限」>「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:for_web)
- アクセス先のサービス
- 「Zscaler」のチェックをオンにします。
- 要求される認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ10:シングルサインオン(SSO)でのログインの確認
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
※ここでは Windows 版での例を示します。
Zscaler Client Connector がインストールされていれば、タスクバーにトレイアイコンが表示されます。アイコンを右クリック>「Open Zscaler」を選択します。
Zscaler の登録画面が表示されます。
作成したユーザーのメールアドレスを入力してログインします。
認証を行う Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- Gluegent Gate のユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、Zscaler に自動的に遷移します。遷移しない場合は画面上の「こちらへ」をクリックしてください。
Gluegent Gate が Zscaler にアクセス可能かを確認し、アクセス可能と判断されれば、Zscaler へのログインに成功します。