概要
Gluegent Gate では、クラウドサービス連携機能として、 Gluegent Gate を経由し Zscaler Internet Access と連携する以下の機能を提供しています。
- Zscaler Internet Access へのログイン
- Zscaler Internet Access に対するアクセス制御
- Zscaler Internet Access のアカウント管理
設定方法については「スタートアップガイド Zscaler編 ~ Internet Access編」で紹介していますので、本書では Zscaler Internet Access (以下、Zscaler と表記)との連携をする際の設定項目についてご紹介しています。
Zscaler Private Access との連携では 汎用SAML for SP にて以下の機能を提供しています。
- Zscaler Private Access へのログイン
- Zscaler Private Access に対するアクセス制御
シングルサインオンのみで、プロビジョニングには対応していません。
設定方法については「スタートアップガイド Zscaler編 ~ Private Access編」で紹介していますので参照してください。
シングルサインオン設定
Gluegent Gate の管理画面にアクセスします。
左メニューにて「シングルサインオン」>「クラウドサービス」>「登録」の順にクリックします。
サービス一覧の「Zscaler」 の編集アイコンをクリックします。
Zscaler に対するシングルサインオン設定が表示されます。
以下の解説を参考に必要項目を入力し、「保存」をクリックします。
項目名 |
説明 |
---|---|
シングルサインオンの設定 |
Zscaler に対するシングルサインオンを有効にする場合にチェックをオンにします。 |
エンティティID |
SAMLのエンティティIDを入力します。 Zscaler のIDプロバイダーの画面上に表示されています。 |
Assertion Consumer Service |
Zscaler の Assertion Consumer Service のURLを入力します。 Zscaler のIDプロバイダーの画面の「SPメタデータをダウンロード」をクリックし、ダウンロードしたファイルをテキストエディタで開きます。「md:AssertionConsumerService」属性に設定されたURLを入力します。 |
ユーザーIDの属性 |
Zscaler のユーザーIDに使用する属性を選択します。 |
ID同期 |
ID同期を有効にする場合にチェックをオンにします。 チェックがオフの場合、Gluegent Gate のユーザー情報は Zscaler に同期されません。[→補足] 再度オンにすると同期が再開されますが、オフのときに Gluegent Gate で実行された操作内容が Zscaler に同期されることはありません。 |
API URL |
Zscaler のIDプロバイダーの画面上に表示されている「ベースURL」の値を入力します。 |
アクセストークン |
Zscaler のIDプロバイダーの画面上に表示されている「Bearer Token」の値を入力します。 |
補足:ID同期を停止する際には、ユーザーの許可するサービス、プロファイルの許可するサービス、アクセス権限ルールでの設定解除も行ってください。
ユーザーの管理 - 3. ユーザーの編集 >許可するサービス
プロファイルの管理 - 2. プロファイルの編集 >許可するサービス
認証・アクセス権限 - 9. アクセス権限ルールの編集 >アクセス先
ユーザー管理
Gluegent Gate のユーザー登録を行うには、Gluegent Gate の管理画面にアクセスし、左メニューの「ユーザー」>「新規登録」の順にクリックします。
ユーザーの新規登録画面が表示されます。
各項目の詳細については ユーザーの管理 - 1. ユーザーの作成 を参照してください。
Zscaler との連携機能を利用する際に同期対象となる項目、注意が必要な項目を紹介します。
項目名 |
説明 |
---|---|
ユーザーID |
「External ID」に同期されます。 |
氏名(姓) |
「姓、表示名」に同期されます。 |
氏名(名) |
「名、表示名」に同期されます。 |
別名 |
「ニックネーム」に同期されます。 |
メールアドレス |
「メールアドレス」に同期されます。 |
許可するサービス |
連携機能を有効にする場合「Zscaler」のチェックをオンにします。 本項での許可、「シングルサインオン」の設定、アクセス権限ルールでの許可するサービス、Zscaler での「シングルサインオン」の設定、の4つの設定が揃うことで Zscaler へのシングルサインオンが可能となります。 既存のユーザーに対して連携機能の利用を停止するにはチェックオフにします。 すでに連携設定がされているユーザーに対して、チェックオフにすると、Zscaler 側とのID同期が実行された時に Zscaler ユーザーは削除されます。 |
既存の Gluegent Gate ユーザーに対して Zscaler との連携を許可する場合には、ユーザー情報を編集・更新します。
Gluegent Gate の管理画面にて「ユーザ」>「一覧」をクリックします。
ユーザ一覧画面が表示されます。
対象のユーザの操作アイコンをクリックします。
ユーザー編集画面が表示されますので、変更を行いたい項目を変更し「更新」をクリックします。詳しくは ユーザーの管理 - 3. ユーザーの編集 を参照してください。
ユーザーの削除はユーザ一覧画面から行ってください。詳しくは ユーザーの管理 - 4. ユーザーの削除 を参照してください。すでに連携設定がされているユーザーを削除するとID同期が実行された時に Zscaler ユーザーも削除されます。
ユーザーグループ管理
ユーザーグループを新規登録する場合には、Gluegent Gate の管理画面にて「ユーザグループ」>「新規登録」をクリックします。
ユーザーグループ新規登録画面が表示されます。
各項目の詳細については グループの管理 - 2. ユーザグループの作成 を参照してください。
Gluegent Gate でユーザグループを作成すると、Zscaler のグループに同期されます。同期対象となる項目、注意が必要な項目について紹介します。
項目名 |
説明 |
---|---|
グループ名 |
同期対象項目ではありません。 Zscaler グループ名は「表示名」に設定してください。 |
表示名 |
「グループ名」に同期されます。 |
ユーザーグループ情報を変更する場合は、Gluegent Gate の管理画面にて「ユーザグループ」>「一覧」をクリックします。
ユーザーグループ一覧画面が表示されます。
対象のユーザグループの操作アイコンをクリックします。
ユーザーグループ編集画面が表示されます。詳細については グループの管理 - 4. ユーザーグループの編集 を参照してください
ユーザーグループの同期対象項目が更新された場合、Zscaler の対応する項目も更新されます。
ユーザーグループへのメンバー追加、削除が行われた場合、Zscaler 側にも同期され、Zscaler グループメンバーの追加、削除が行われます。
メンバーの操作については グループの管理 - 3. ユーザーグループの編集 を参照してください。
ユーザーグループの削除はユーザーグループ一覧画面から行ってください。詳しくは グループの管理 - 5. ユーザーグループの削除 を参照してください。ユーザーグループを削除すると Zscaler のグループも削除されます。