Secure Web Access との連携設定

docomo business RINK IDaaS と Secure Web Access との連携設定方法について説明します。※Flexible Secure Gateway Web無害化オプションは除きます。
連携設定を行うことで認証を強化して Secure Web Access をご利用いただくことができます。また、docomo business RINK IDaaSに登録されているグループ情報を連携することで、Secure Web Accessに設定されたグループポリシーを割り当てることができます。(グループ情報の連携について弊社で動作確認をしておりますが、ご利用にあたってはお客様でのご検証をお願いいたします。)

  • Secure Web Accessから起動を行う場合のSAML認証フローイメージ

menlo_flow

1. 事前準備

連携設定作業を行うには、以下の環境を事前に準備いただく必要があります。

  • Secure Web Access のお申込みを完了していること。

    • Secure Web Access のお申込み方法は こちら

    • Secure Web Access のポータル等のご利用方法は こちら

  • docomo business RINK IDaaS に SAML連携したいメンバーが登録されていること。

  • Secure Web Accessに、docomo business RINK IDaaS の宛先をプロキシ除外しておくこと。


2. docomo business RINK IDaaS上の設定

ここでは docomo business RINK IDaaS上の Secure Web AccessとのSAML連携設定の手順を記載します。
(1) docomo business RINK IDaaSのトップ画面で [管理] を選択します。
1-6-1

(2) 管理画面で [アプリ] を選択します。
1-6-2

(3) アプリ管理画面で [SAMLアプリ登録] を選択します。
1-6-3

(4) 企業アプリ登録画面で、アプリケーション名に任意の名前を入力し、IDプロバイダーURL と発行者エンティティID をメモしてから、[証明書を取得] をクリックします。(メモした内容と証明書は Secure Web Access上の設定で使用します)
1-6-4

  ダウンロード先のフォルダにて、証明書がダウンロードされたことを確認します。
1-6-5

(5) サービスプロバイダの設定で、各項目について以下を指定します。
  ・ ログインURL: https://safe.menlosecurity.com/account/login
  ・ エンティティID: https://safe.menlosecurity.com/safeview-auth-server/saml/metadata
  ・ サービスへのACS URL: https://safe.menlosecurity.com/safeview-auth-server/saml
1-6-6

(6) Secure Web Accessでグループを使用する場合は、[カスタム属性を指定] をクリックし、カスタム属性にグループを指定する作業を実施します。
※ グループを使用しない場合は、本項 (6) は実施せず、(7) へスキップしてください。
Secure Web Accessで管理しているグループを指定します。

注釈

グループ設定を行うことで、docomo business RINK IDaaSに登録されているグループ情報をSecure Web Accessに連携することができます。グループ情報を連携することで、Secure Web Access上に設定されたグループポリシーを適用し、所属グループに応じたアクセス制御を行うことができます。なお、グループ情報の連携について弊社で動作確認をしておりますが、グループ情報の連携に関する動作保証は行っておりません。ご利用にあたっては、お客様でのご検証をお願いいたします。

    1. [カスタム属性を指定] をクリックします。

1-6-7-1

    2. [SAML属性を追加] をクリックします。

1-6-7-2

    3. 以下のとおり指定します。

1-6-7-3
① 属性指定名に「groups」を指定します。
② 属性種類に「Basic」を選択します。
③ 属性名に「group」を指定します。
属性値に以下を指定します。
④ 「グループ」を選択します。
⑤ docomo business RINK IDaaS側に登録しているグループを選択します。
⑥ 複数のグループをSecure Web Accessへ渡す場合は、「+」をクリックして追加します。
最後のグループも「+」をクリックして完了させます。
※ グループはdocomo business RINK IDaaSにてあらかじめ追加されていることを前提としています。グループの登録方法は こちら


(7) 画面の最上部へスクロールし、[登録] をクリックします。
1-6-8

3. Secure Web Access上の設定

3-1. SAML連携設定

ここではSecure Web Access上の設定手順を記載します。
(1) Secure Web Access管理画面へログインします。
1-6-9-1
1-6-9-2

(2) Secure Web Access管理画面で、[Settings] をクリックします。
1-6-10

(3) [Single Sign On] を選択して、[Edit] をクリックします。
1-6-11-1

(4) 下図のとおり設定し、[Add Certificate] をクリックします。
1-6-11-2

(5) docomo business RINK IDaaSからダウンロードした証明書ファイルをメモ帳で開き、表示された文字列をコピーして画面に貼り付けたら、[Save] をクリックします。
1-6-11-3
1-6-11-4

証明書が登録されたことを確認します。
1-6-11-5

(6) 画面上部にある [Save] をクリックします。
1-6-11-6

(7) もう一度、 [Save] をクリックします。
1-6-11-7

3-2. 連携グループの利用例

docomo business RINK IDaaS と Secure Web Accessのグループ情報連携によるアクセス制御について説明します。docomo business RINK IDaaSから連携されたグループ情報をもとにSecure Web Accessでポリシーを割り当てることができ、メンバーのグループ情報をもとにアクセス制御を行うことができます。設定は任意のため、必要に応じてご対応ください。

以下を前提に説明します。
1. docomo business RINK IDaaS にて「sales」と「public_relations」の2つのグループを定義します。
2. Secure Web Access 側で、宛先Aに対してアクセスを拒否するポリシーを全メンバー・全グループに適用する設定をします。
3. Secure Web Access 側で、「public_relations」グループに属しているメンバーに対して宛先Aへのアクセスを許可する設定をします。

  • イメージは以下の図の通りです。

menlo_group_image
これにより「public_relations」に所属するメンバーのみ宛先Aにアクセスできるようになり、その他のメンバーはアクセス不可となります。以降では宛先Aを「ntt.com」とした際の、Secure Web Access側の設定例を説明します。

注釈

グループ設定機能をご利用の際は、Secure Web Access側でアクセス先をグループごとに許可するホワイトリスト方式をご利用いただくことをお勧めいたします。ホワイトリスト方式は、上記の図のようにデフォルト(全メンバー・全グループ)ではアクセスを拒否しておき、必要なグループのみ許可する方式です。ホワイトリスト方式を採用することで、万が一グループ連携が機能しない場合でも、許可されていないグループに対して想定外のアクセスを許可しないようにすることができます。


(1) 最初に「ntt.com」へのアクセスを全メンバー・全グループでブロックするポリシーを作成します。[Policy] をクリックします。
1-6-12-1

(2) [Web] の [Policy Exceptions] を選択し、[Add Rule] をクリックします。
1-6-12-2

(3) [Domain] を選択します。
1-6-12-3

(4)「Name」にポリシーの名前を設定、「Action」に [Block] を、「Reason」に [Other] を選択します。[Next] をクリックします。
1-6-12-4

(5) ブロックするドメインに「ntt.com」を指定して [Add] をクリックしてから、[Next] をクリックします。
1-6-12-5

(6) [Next] をクリックします。
1-6-12-6

(7) [Save] をクリックします。
1-6-12-7

(8) もう一度 [Save] をクリックし、全メンバー・全グループでブロックするポリシーを保存します。続いて [Add Rule] をクリックして、「public_relations」グループのみに「ntt.com」へのアクセスを許可するポリシーを作成します。
1-6-12-7-1

(9) [Domain] を選択します。
1-6-12-3

(10)「Name」にポリシーの名前を設定、「Action」に [Allow] を、「Reason」に [Other] を選択します。[Next] をクリックします。
1-6-12-9

(11) 許可するドメインに「ntt.com」を指定し、[Add] をクリックしてから [Next] をクリックします。
1-6-12-10

(12)「All users/groups」をOffにします。
1-6-12-11

(13)「Type」に [Group] を選択し、アクセスを許可するグループ名「public_relations」を入力して、[Add Group] をクリックします。
1-6-12-12

(14) グループ「public_relations」が追加されたことを確認し、[Save] をクリックします。
1-6-12-13

(15) もう一度 [Save] をクリックします。
1-6-12-14

(16) [Publish] をクリックします。
1-6-12-15


4. メンバー側での動作確認

ここではメンバー側での動作確認の手順を説明します。以下の設定が完了していることが前提となります。

  • Secure Web Accessとdocomo business RINK IDaaSの双方にメンバーが登録されていること。

  • Secure Web Accessとdocomo business RINK IDaaSの連携設定が完了していいること。

  • Secure Web Accessのプロキシ設定にてdocomo business RINK IDaaSの除外設定が完了していること。

  • Secure Web Accessを利用するための設定が完了していること。

  • 必要があれば、グループによるアクセス制御の設定がされていること。


(1) ブラウザを起動し、アドレスバーに「ntt.com」を指定します。
1-8-1

(2) Secure Web Accessのメンバー確認画面が表示されますので、メールアドレスを入力し [次へ] をクリックします。
1-8-2

(3) docomo business RINK IDaaSのログイン画面が表示されますので、企業IDとメールアドレスを入力し [ログイン] をクリックします。ここでは例としてパスワード認証を実施しています。
1-8-3-1
1-8-3-2
(4) 多要素認証を実施します。ここでは例としてワンタイムパスワード認証を実施しています。
1-8-3-4

(5) 認証に成功するとサイトへアクセスされます。アクセス許可に応じて、以下どちらかの表示がされたら連携設定は完了です。

  • 「ntt.com」へのアクセスが許可されている場合は、以下のような弊社のサイトが表示されます。

1-8-4-1

  • 「ntt.com」へのアクセスが許可されていない場合は、アクセスがブロックされた旨が表示されます。

1-8-4-2