Zscaler（ZPA）とExticのSAML連携

こんにちは。ネットワークソリューション特集編集部です。
今回は、Zscaler（ZPA）とExticのSAML連携の設定についてご紹介します。

Exticは、SSOとIDの連携・管理を行う国産のクラウド認証基盤(IDaaS)です。

www.techvan.co.jp

Extic | テクバン株式会社

https://www.techvan.co.jp/solution/security/extic/

クラウドとオンプレミスを対象に認証情報を管理する「アカウント管理」機能とさまざまな利用システムの認証を統合する「シングルサインオン」機能を兼ね備えたIDaasです。

Zscaler（ZPA）の認証方法について

ZPAは以下の主要なコンポーネントから構成されます。

ZPA Service Edge
Zscaler Client Connector(ZCC)
App Connector
IdPとのSAML連携

ZPAではSAML認証が必須となります。したがって、SAML に対応した IdP (Identity Provider) を用意する必要があります。IdP はユーザーの認証情報を提供し、ZPA へのアクセスを制御します。

SAMLについて

SAMLは、Security Assertion Markup Languageの頭文字をとった略称で、シングルサインオンなどでID連携をする際に利用される仕組みの一つです。XML形式で認証や認可の情報をやり取りします。

SAMLでは、以下の3者間で認証情報のやり取りが発生します。

ユーザー：サービスの利用者
SP（Service Provider）：SaaSなどのサービスの提供者、認証情報を利用する側
IdP（Identity Provider）：認証情報の提供者

今回は、SPがZPA、IdPがExticになります。

ZPAの環境確認（事前準備）

事前の準備として、ZPA側で以下情報を確認します。

認証ドメイン
Zscalerでは、ユーザーIDは電子メールアドレス形式でなければなりません。有効なメールアドレスである必要はありませんが、一意であり、使用するドメインがZscalerの認証ドメインとして登録されている必要があります。Exticで作成するユーザーのドメインがZscalerに未登録の場合は、Zscalerに申請して登録する必要があります。

認証ドメインは以下の方法で確認します。
ZPAの管理ポータルにログインします。「認証」＞「ユーザー認証」＞「設定」　でセカンダリー認証ドメインで登録されているドメインを確認します。

ZPAの設定（IdPの作成）

1．ZPAの管理ポータルにログインします。
　　「認証」＞「ユーザー認証」＞「IdP構成」を選択します。

2．「IdP構成を追加」ボタンを押します。以下を設定し、「次へ」を押します。
「名前」：IdPの名称など任意で設定します。
「シングルサインオン」：ユーザー
「ドメイン」：ユーザー認証で利用するドメインを選択

3．「サービスプロバイダーのメタデータ」の「Download Metadata」を押し、メタデータを保存します。
「一時停止」ボタンを押します。

Exticの設定（SAML）

1．Exticの管理コンソールにログインします。
「アプリケーション」＞「シングルサインオン（SAML）」の「使用する」を選択します。

2．以下を設定し、「保存」を押します。

「表示名」：名称を任意で設定します。
「SAMLエンティティID」：ZPAの設定（IdPの作成）の手順3でダウンロードしたZscalerのメタデータの中身を確認し、entityIDのURLを入力する。
（メタデータ出力例）entityID=”https://samlsp.private.zscaler.com/auth/metadata/XXXXX”
「SAML SP エンドポイントURL」：ZPAの設定（IdPの作成）の手順3ダウンロードしたZscalerのメタデータの中身を確認し、locationのURLを入力する。
（メタデータ出力例）Location=”https://samlsp.private.zscaler.com/auth/XXXXX/sso