ADFS を使用したSSO JIT プロビジョニングの設定

JIT プロビジョニングでは、ADFS 認証情報を使用してADFS にログインし、SSO アプリケーションとして設定されたCloudGuard にログインすることを選択します。SAML は認証情報を認証し、CloudGuard に転送して、すでに存在するCloudGuard ロールにマッピングされているメールアドレスとAD グループメンバシップに基づいてユーザを作成します。

Active Directoryの設定

AD グループをCloudGuard ロール に動的にマッピングするには、CloudGuardまたは他の関連するプレフィックス(CG-AdminsCG-Users など) を使用してAD グループを作成します。これらのAD グループにユーザを追加します。Check Point では、1 つのCloudGuard AD グループにのみユーザを追加することをお勧めします。

  1. ドメイン環境でCloudGuard にJIT プロビジョニングするためのActive Directory セキュリティグループ(CG-jit-auditors など) を作成します。CloudGuard にログインする必要があるドメインユーザをグループに追加します。

  2. グループにユーザを追加します。

ADFS の設定

ADFS 側で、動作可能なADFS 設定があることを確認します。このためには、メインページにログインします。

https://<server.domain.com>/adfs/ls/idpinitiatedsignon.htm

ここで、 <server.domain.com> はADFS WAP サーバです。有効なSSL 証明書が必要な場合は、Let’s Encrypt から無料で取得できます。

次に、CloudGuard をRelying Party Trustとして追加して、ID プロバイダのコンシューマーにする必要があります。

  1. ADFS で、Claims aware オプションを指定して新しいRelying Party Trust を追加し、依拠当事者信頼ウィザードの手順に従います。

  2. Service Provider Metadata XML テキストをコピーして保存します。<your-company-name> を置き換えて、Configuring CloudGuard の下の手順3(a) で設定したAccount ID 文字列と一致させます。必要に応じて、validUntil およびcacheDuration のプロパティ値を更新します。

    サービスプロバイダメタデータのXML テンプレート:

    コピー 
    <?xml version="1.0"?> <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2025-09-03T06:43:37Z" cacheDuration="PT604800S" entityID="https://secure.dome9.com"> <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://secure.dome9.com/sso/saml/<your-company-name>" index="1" /> </md:SPSSODescriptor> </md:EntityDescriptor>

  3. Select Data Source ページで、上記で作成したService Provider Metadata XML ファイルからデータをインポートします。

  4. 表示名の指定ページのDisplay name フィールドに、CloudGuard と入力します。

  5. ウィザードが終了するまで、各画面でNext をクリックします。

  1. Actions パネルから、Edit Claim Issuance Policy を選択します。

  2. Add Rule をクリックし、図のようにGet Email ルールを編集します。

  3. OKをクリックします。

  4. Add Rule をクリックして、別のルールを作成します。

  5. ルール名をConvert Email to NameID に設定し、ルールを編集します。

  6. Transform an Incoming Claim を選択し、Next をクリックします。次のフィールドを設定します。

    1. Incoming claim type - E-Mail Address

    2. Outgoing claim type - Name ID.

    3. Outgoing name ID format - Email.

  7. OKをクリックします。2つのルールがあります。

  8. Applyをクリックします。

CloudGuardの設定

CloudGuardを続行する場合は、スーパーユーザクレデンシャルを使用してログインします。

  1. CloudGuard で、Settings メニューのSecurity & Authentication ページに移動します。

  2. SSO セクションで、Edit をクリックします。SSO 設定ウィンドウが開きます。

  3. 次の詳細を使用して、SSO 設定フォームに記入します。

    1. Account ID - 上記のXML ファイルのアカウントID を使用します。

    2. Issuer - 設定 http://<your.server.com>/adfs/services/trust

    3. Idp endpoint url - 設定 http://<your.server.com>/adfs/ls

    4. X.509 Certificate - --BEGIN CERTIFICATE-- および---END CERTIFICATE--- テキストを含むPFX ファイルから貼り付けます。これは、ADFS Web サーバからの証明書です。

  4. AllowJust-in-time provisioning for the account をチェックし、Attribute name in SAML for just-in-time rolememberOf のままにします。

  5. Saveをクリックします。

ADFS SSO サインインのテスト

  1. AD 認証情報を使用してADFS サインインページにログインし、Sign in to one of the following sites - CloudGuard または他のディスプレイ名を選択します。

  2. Sign inをクリックします。この操作により、JIT ユーザとしてCloudGuard にログインし、AD グループをCloudGuard 内の同じ名前のロールに一致させます。

  3. システム監査証跡をチェックして、JIT イベントを表示します。