Zscaler 2.0用SAML 2.0の構成方法

目次

• 対応機能
• 構成手順
• SAML自動プロビジョニング オプションの設定
• 備考

---

対応機能

Okta/Zscalerの2.0 SAML統合では現在、次の機能をサポートしています。

• SPが起点となるSSO
• JIT（ジャストインタイム）プロビジョニング

---

構成手順

1. Zscalerアプリケーションにログインします。

2. 上部にある[Administration（管理）]タブを選択します。

3. 左のナビゲーション パネルから[Authentication Settings（認証設定）]を選択します。

4. [Authentication Type（認証タイプ）]にて、[SAML]ボタンをクリックします。

5. [Configure SAML（SAML構成）]をクリックします。



6. SAML Configuration（SAML構成）画面の[Identity Provider (IDP) Options（IDプロバイダー（IDP） オプション） ]セクションで、次のように入力します。

   • SAML Portal URL（SAMLポータルURL）： 以下をコピーして貼り付けます。

     Okta管理者アプリにサインインして、この変数を生成します。

   • Login Name Attribute（ログイン名属性）：NameIDを入力します。

   • Public SSL Certificate（パブリックSSL証明書）：まずはここをクリックしてアップロード用の証明書をダウンロードします。

     Okta管理者アプリにサインインして、この変数を生成します。

     次に[Upload（アップロード）]をクリックしてZscalerにアップロードします。

   • [Save（保存）]をクリックします。

   

7. 完了！

より小さいスクリーンショットを見る

---

SAML自動プロビジョニング オプションの設定

Zscalerの[Administration（管理）]ページにて、以下の手順を完了します。

1. [Manage Users & Authentication（ユーザーと認証の管理）]をクリックします。

2. [Edit（編集）]をクリックし、次に[Configure SAML Single Sign-On parameters（SAMLシングル サインオン パラメータの構成）]をクリックします。

3. [Enable SAML Auto-Provisioning（SAML自動プロビジョニングを有効化）]をクリックします。

4. [Attribute containing User Display Name（ユーザー表示名を含む属性）]には次のように入力します：
   
   DisplayName

5. [Attribute containing Group Name（グループ名を含む属性）]には次のように入力します：
   
   memberOf

6. [Attribute containing Department Name（部署名を含む属性）]には次のように入力します：
   Department

7. [Done（終了）]をクリックします。

8. [Save（保存）]をクリックします。

9. OktaでZscaler Private Access 2.0 SAMLアプリの[Sign On（サインオン）]タブを選択し、[Edit（編集）]をクリックします。



10. 上記の[memberOf]フィールドで、ドロップダウンメニューを使用して条件のタイプを選択し、SAMLアサーションで送信するグループを指定する式を入力します。

    上記の例では、条件は正規表現（Regex）であり、指定された式は「.*」です。これは、ユーザーが属するすべてのグループがアサーションで送信されることを意味します。必要に応じて条件は修正できます。

11. [Save（保存）]をクリックします。

12. ブラウザウィンドウを開きます。

13. ブラウザのプロキシをgateway.[ あなたのZscalerDomain]：80に設定します。

    例えば、あなたのZscalerのドメインがZscalerbeta.netの場合、gateway.Zscalerbeta.net：80プロキシを使用します。

14. Okta URLホスト（[あなたのSubdomain].okta.com）と*.oktacdn.comをプロキシのバイパスリストに追加します。

    例えば、https://acme.okta.com/にログインする場合、acme.okta.comを入力します。

    Firefoxブラウザに表示される例を次に示します。

    

ユーザーがZscalerにシングルサインオンする準備ができました。

---

備考

• Oktaの[General（全般）]タブの[Your Zscaler Domain（あなたのZscalerドメイン）]フィールドに正しい値を入力したことを確認してください。間違った値を使用すると、SAMLを介したZscalerへの認証が行われません。

• 次のSAML属性がサポートされています。

  名称	値
  DisplayName	user.firstName + ' ' + user.lastName
  Department	user.department
  memberOf	これはアプリのUIで構成されます。SAML自動プロビジョニング オプションの設定セクションの手順9を参照してください。

SPが起点となるSSOの場合

1. あなたのサイトを開きます。
2. https://gateway.[あなたのZscalerDomain]にリダイレクトされ、ユーザー名の入力を求められます。

3. [User Name（ユーザー名）]を入力し、[Sign In（サインイン）]ボタンをクリックします。