皆さん、こんにちは。
ネットワールドSE 西日本技術部の廣澤です。
先日、FortiGateの「IPSec-VPN(IKEv2)」に接続する際の認証として、
「SAML(EntraID)」を利用するための設定手順をご紹介しました。
今回はFortiClientEMSの認証に「SAML(EntraID)」を利用する方法をご紹介します。
EMSとEntraIDは「API + SAML」で連携する
FortiClientEMSとEntraIDを連携させるには、
「API」と「SAML」
の設定が必要です。
これは、FortiClientからEntraIDのドメイン情報(ユーザーグループ等)を参照するために、
「API」による通信が必要となっているためです。
また、「API+SAML」で連携出来るのは「EntraID」のみとなります。
EntraID以外のIDaaS(例:Okta)は「SAML」単体での連携となります。
API連携設定
●EntraID
①新規アプリケーションを作成します。
②APIアクセスの設定を行います。
「アプリケーションの許可」を選択して以下の5つにチェックを入れます。
● Device.Read.All
● Domain.Read.All
● Group.Read.All
● GroupMember.Read.All
● User.Read.All
「委任されたアクセス許可」を選択して以下の1つにチェックを入れます。
● User.Read
③シークレットを作成します。連携の為にシークレットを含む以下の3つをメモ帳に控えます。
以上でEntraIDのAPI連携設定は完了です。
●FortiClientEMS
①「Authentication Server」としてEntraIDを追加します。
②EntraID設定時にメモ帳に控えた情報を入力します。
③EntraIDをドメインとして読み込みます。
以上でFortiClientEMSのAPI連携設定は完了です。
SAML連携設定
●EntraID事前設定
①エンタープライズアプリケーションを作成します。
②アプリケーションに認証対象となるユーザーグループを設定します。
③シングルサインオンの方式に「SAML」を選択します。
以上でSAML連携のEntraID側事前設定は完了です。
●FortiClientEMS事前設定
①SAML SPの設定を作成し、EntraID(IdP)に設定する情報を控えておきます。
以上でSAML連携のFortiClientEMS側事前設定は完了です。
●EntraIDメイン設定
①FortiClientEMSで控えた情報を入力します。
②「一意のユーザー識別子(名前ID)」の値を変更、更にEMSの「ドメイン識別子」を使って、
新規クレームを作成します。
③FortiClientEMSに設定する証明書を取得し、必要な情報をメモ帳に控えます。
以上でEntraID側のメイン設定は完了です。
●FortiClientEMSメイン設定
①EntraIDで控えた情報を入力し、証明書をアップロードします。
②Invitations(招待コード)を作成します。
コピーしたInvitations(招待コード)をユーザーに通知すれば連携設定は完了です。
動作確認
実際に招待コードを使ってFortiClientEMSに接続してみます。
FortiClientEMSで接続しているユーザーを確認します。
以上がFortiClientEMSとEntraIDの連携となります。
最後に
今回はオンプレ環境のFortiClientEMSを使用した記事となっていますが、
FortiClientCloudをご利用の場合はSAML認証の利用を推奨します。
FortiClientCloudはFortinetの「SaaS型サービス」であり、オンプレリソースは必要ありません。
そのため、IDaaSと統合することで全てがクラウドで完結する構成を取ることが可能となります。
もし、FortiClientCloudのご利用を検討中のお客様がいらっしゃいましたら、
本記事を参考にSAML連携を設定いただくか、設定が心配な場合は弊社へご相談いただければと思います。
免責事項
- 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
- 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
- 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
- 本書の利用は、利用者様の責任において行われるものとします。
- 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。
