SAML 認証方法を構成して、管理ユーザー インターフェイスへの管理者アクセス権を持つユーザーを認証できます。これにより、認証と承認が外部の SAML 2.0 ID プロバイダ (IdP) に委任され、Unified Access Gateway 管理者が SAML サービス プロバイダ (SP) として機能します。ユーザーが https://<<uag-fqdn>>:9443/admin を使用して、Unified Access Gateway 管理ユーザー インターフェイスにアクセスすると、外部 IdP にリダイレクトされ、そこで認証情報の入力を求められます。ユーザーが正しく認証され、承認されると、Unified Access Gateway にリダイレクトされ、自動的にログインします。

IdP 上に Unified Access Gateway 管理者専用に SAML アプリケーションを作成する必要があります。この IdP アプリケーションからエクスポートされた SAML メタデータは、Unified Access Gateway で SAML 信頼を構成するために使用されます。これは完全にフェデレーションされた SAML 統合であるため、管理者ユーザーを個別に Unified Access Gateway に追加する必要はありません。

注: Unified Access Gateway 2209 以降では、管理者 SAML 認証機能が有効になっている場合、監視ロールを持つユーザー(権限の低い管理者)が基本認証を使用して API にアクセスできます。管理者の SAML 認証を有効にすると、デフォルトの管理者(管理者ロールと基本認証情報を持つ)は自動的に無効になります。逆に、管理者の SAML 認証を無効にすると、デフォルトの管理者が自動的に有効になります。管理者に SAML 認証が構成されている場合は、監視ユーザーの [パスワード-ログイン前] トグルをオフにしてください。

IdP SAML アプリケーションを特定のユーザーまたはユーザー グループに割り当てて、管理者アクセス権を付与できます。承認された管理者のユーザー名は、署名付き SAML アサーションの NameID フィールドに入力されます。IdP が SAML アサーションを暗号化する場合は、ID プロバイダ メタデータのアップロード中に Unified Access Gateway を暗号化証明書で構成する必要があります。IdP は、この証明書のパブリック キーを使用してアサーションを暗号化します。Unified Access Gateway によって生成された AuthNRequest は、パブリック向け TLS 証明書を使用して署名されます。

  1. 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
  2. 詳細設定で、[アカウント設定] ギア アイコンを選択します。
  3. [アカウント設定] ウィンドウで、[SAML ログイン構成] をクリックして設定を完了します。
    1. 設定を有効にするには、[SAML 認証の有効化] トグルをオンにします。
    2. ドロップダウン メニューから [ID プロバイダ]を選択します。
      注:
      • ID プロバイダのメタデータ ファイルを以前にアップロードしている場合は、ドロップダウン メニューで ID プロバイダを選択できます。
      • ID プロバイダの管理コンソールで SAML 構成に次の設定を使用します。
        オプション 説明
        シングル サインオン URL Assertion Consumer Service の URL を次のように入力します。

        https://<<uag-fqdn>>:9443/login/saml2/sso/admin

        対象者の URI(SP エンティティ ID) 対象者の URL を次のように入力します。

        https://<<uag-fqdn>>:9443/admin

        SP 発行者 必要に応じて、SP 発行者を次のように入力します。

        https://<<uag-fqdn>>:9443/admin

      ID プロバイダを構成し、ID プロバイダ メタデータ ファイルを UAG にアップロードする方法の詳細については、Unified Access Gateway 情報を使用した ID プロバイダの構成およびUnified Access Gateway への ID プロバイダの SAML メタデータのアップロードを参照してください。

  4. 管理インターフェイスの TLS 証明書を使用して SAML 認証要求に署名するには、[管理者証明書で署名] トグルをオンにします。オフにすると、インターネットに接続している TLS 証明書を使用して SAML 認証要求が署名されます。
  5. (オプション)管理者 SAML で構成する Unified Access Gateways が複数ある場合は [静的 SP エンティティ ID] を入力します。このオプションは、管理者 SAML を使用して複数の Unified Access Gateway を構成する場合に便利です。これにより、Unified Access Gateway ごとに IdP で個別の SAML アプリケーションを作成する必要がなくなるためです。
    1. 静的エンティティ ID を使用して、IdP に SAML アプリケーションを作成します。
    2. SAML アプリケーションを構成して、受信 SAML 認証要求の署名を確認します。要求の検証に成功すると、IdP は SAML 認証要求のアサーション コンシューマ URL に SAML アサーション応答を送信します。
    3. Unified Access Gateway を同じ静的エンティティ ID で構成します。
    注: [静的 SP エンティティ ID] を入力しない場合、UAG から送信される SAML 認証要求の発行者の値は、デフォルトで管理ポータルの URL に設定されます。たとえば、 https://<uagip>:9443/portal のように追加します。ただし、 [静的 SP エンティティ ID] が指定されている場合、発行者の値は静的エンティティ ID になります。
  6. [保存] をクリックします。

    認証の変更が適用され、管理者ユーザーは自動的に管理ユーザー インターフェイスからログアウトします。次回のログイン時に、Unified Access Gateway は管理者のログイン要求を ID プロバイダにリダイレクトし、認証が成功すると、ID プロバイダは管理者にアクセスを提供します。

    注: 管理者の設定を元に戻してデフォルトのパスワード認証を復元するには、 adminreset コマンドを使用します。詳細については、 adminreset コマンドを使用して管理者をリカバリするを参照してください。