SAML 認証方法を構成して、管理ユーザー インターフェイスへの管理者アクセス権を持つユーザーを認証できます。これにより、認証と承認が外部の SAML 2.0 ID プロバイダ (IdP) に委任され、Unified Access Gateway 管理者が SAML サービス プロバイダ (SP) として機能します。ユーザーが https://<<uag-fqdn>>:9443/admin
を使用して、Unified Access Gateway 管理ユーザー インターフェイスにアクセスすると、外部 IdP にリダイレクトされ、そこで認証情報の入力を求められます。ユーザーが正しく認証され、承認されると、Unified Access Gateway にリダイレクトされ、自動的にログインします。
IdP 上に Unified Access Gateway 管理者専用に SAML アプリケーションを作成する必要があります。この IdP アプリケーションからエクスポートされた SAML メタデータは、Unified Access Gateway で SAML 信頼を構成するために使用されます。これは完全にフェデレーションされた SAML 統合であるため、管理者ユーザーを個別に Unified Access Gateway に追加する必要はありません。
IdP SAML アプリケーションを特定のユーザーまたはユーザー グループに割り当てて、管理者アクセス権を付与できます。承認された管理者のユーザー名は、署名付き SAML アサーションの NameID フィールドに入力されます。IdP が SAML アサーションを暗号化する場合は、ID プロバイダ メタデータのアップロード中に Unified Access Gateway を暗号化証明書で構成する必要があります。IdP は、この証明書のパブリック キーを使用してアサーションを暗号化します。Unified Access Gateway によって生成された AuthNRequest は、パブリック向け TLS 証明書を使用して署名されます。
- 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。
- 詳細設定で、[アカウント設定] ギア アイコンを選択します。
- [アカウント設定] ウィンドウで、[SAML ログイン構成] をクリックして設定を完了します。
- 設定を有効にするには、[SAML 認証の有効化] トグルをオンにします。
- ドロップダウン メニューから [ID プロバイダ]を選択します。
注:
- ID プロバイダのメタデータ ファイルを以前にアップロードしている場合は、ドロップダウン メニューで ID プロバイダを選択できます。
- ID プロバイダの管理コンソールで SAML 構成に次の設定を使用します。
オプション 説明 シングル サインオン URL Assertion Consumer Service の URL を次のように入力します。 https://<<uag-fqdn>>:9443/login/saml2/sso/admin
対象者の URI(SP エンティティ ID) 対象者の URL を次のように入力します。 https://<<uag-fqdn>>:9443/admin
SP 発行者 必要に応じて、SP 発行者を次のように入力します。 https://<<uag-fqdn>>:9443/admin
ID プロバイダを構成し、ID プロバイダ メタデータ ファイルを UAG にアップロードする方法の詳細については、Unified Access Gateway 情報を使用した ID プロバイダの構成およびUnified Access Gateway への ID プロバイダの SAML メタデータのアップロードを参照してください。
- 管理インターフェイスの TLS 証明書を使用して SAML 認証要求に署名するには、[管理者証明書で署名] トグルをオンにします。オフにすると、インターネットに接続している TLS 証明書を使用して SAML 認証要求が署名されます。
- (オプション)管理者 SAML で構成する Unified Access Gateways が複数ある場合は [静的 SP エンティティ ID] を入力します。このオプションは、管理者 SAML を使用して複数の Unified Access Gateway を構成する場合に便利です。これにより、Unified Access Gateway ごとに IdP で個別の SAML アプリケーションを作成する必要がなくなるためです。
- 静的エンティティ ID を使用して、IdP に SAML アプリケーションを作成します。
- SAML アプリケーションを構成して、受信 SAML 認証要求の署名を確認します。要求の検証に成功すると、IdP は SAML 認証要求のアサーション コンシューマ URL に SAML アサーション応答を送信します。
- 各 Unified Access Gateway を同じ静的エンティティ ID で構成します。
注: [静的 SP エンティティ ID] を入力しない場合、UAG から送信される SAML 認証要求の発行者の値は、デフォルトで管理ポータルの URL に設定されます。たとえば、https://<uagip>:9443/portal
のように追加します。ただし、 [静的 SP エンティティ ID] が指定されている場合、発行者の値は静的エンティティ ID になります。 - [保存] をクリックします。
認証の変更が適用され、管理者ユーザーは自動的に管理ユーザー インターフェイスからログアウトします。次回のログイン時に、Unified Access Gateway は管理者のログイン要求を ID プロバイダにリダイレクトし、認証が成功すると、ID プロバイダは管理者にアクセスを提供します。
注: 管理者の設定を元に戻してデフォルトのパスワード認証を復元するには、adminreset
コマンドを使用します。詳細については、 adminreset コマンドを使用して管理者をリカバリするを参照してください。