WatchGuard Cloud でアカウントの SAML シングル サインオンを構成する
このセクションで説明されている一部の機能は、WatchGuard Cloud ベータ プログラムの参加者のみが利用できます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。
ユーザーのログイン プロセスを簡素化するため、Security Assertion Markup Language (SAML) シングル サインオン (SSO) を構成することができます。SAML 2.0 は、Service Provider (SP) および Identity Provider (IdP) がユーザー識別情報を交換する方法を指定する標準です。
SAML SSO を構成すると、アイデンティティ プロバイダの既存の認証情報を使用して、WatchGuard ユーザー アカウントからログインできるようになります。たとえば、アイデンティティ プロバイダとして Azure Active Directory を指定した場合、管理ユーザーは、Azure Active Directory の認証情報を使用して WatchGuard Cloud にログインすることができます。
ユーザーがある WatchGuard サービスにログインすると、他の WatchGuard サービスにログインするために再度認証を行う必要はありません。たとえば、ユーザーが WatchGuard Cloud にログインした後は、再度認証を受けなくても WatchGuard Webサイトにログインすることができます。
WatchGuard サービスには直接ログインする必要があります。WatchGuard アカウントの SAML SSO は、アイデンティティ プロバイダのログインに対応していません。
WatchGuard アカウント用に SAML SSO を構成すると、ユーザーは SSO を使用して、または WatchGuard 認証情報を利用してログインすることができます。最初のログイン後に再度認証を行わなくて済むように、ユーザーは SSO を使ってログインすることをお勧めします。
開始する前に
構成ウィザードを開始する前に、以下が必要になります。
- SAML SSO が有効な、完全に構成済みの IDP
- SAML メタデータ URL またはアイデンティティ プロバイダからのローカル メタデータ ファイル
- SAML エンティティ ID
- シングル サインオン URL
- シングル ログアウト URL
- X.509 証明書
- サポート チームの連絡先情報
WatchGuard アカウントの SSO を構成する
WatchGuard アカウントの SAML シングル サインオンを設定するには、WatchGuard アカウント SSO 構成ウィザードを使用する必要があります。これらの手順を完了する前に、アイデンティティ プロバイダの SSO を構成する必要があります。この手順のステップを完了するには、アイデンティティ プロバイダからのメタデータ ファイルが必要です。
アイデンティティ プロバイダが WatchGuard からのメタデータを必要とする場合、この情報は、SSO 構成ウィザードの各ページの上部にあります。
管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ユーザーのロールに アカウントを管理する 権限が必要です。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する。
WatchGuard アカウントの SSO を構成するには、以下の手順を実行します。
- WatchGuard Cloud にログインします。
- 管理 > SSO の順に選択します。
SAML SSO ページが開きます。
- SAML SSO を構成する をクリックします。
WatchGuard アカウント SSO 構成ウィザードが開きます。
WatchGuard Service Provider SAML メタデータ URL は、SSO 構成ウィザードの毎ページにあります。この URL をアイデンティティ プロバイダ管理者に提供してください。
-
アイデンティティ プロバイダからの SAML メタデータを提供する必要があります。URL を提供するか、ローカル ファイルをアップロードすることができます。メタデータをインポートするための URL を提供することをお勧めします。
-
URL により SAML メタデータをインポートするには、アイデンティティ プロバイダ メタデータ ファイルの URL を メタデータ URL テキスト ボックスに入力します。
-
ローカル メタデータ ファイルをアップロードするには、メタデータ ファイルを選択する をクリックし、ローカル ファイルからメタデータ ファイルを選択します。
-
- 次へ をクリックします。
SAML 構成ページが開きます。
メタデータ ファイルをインポートすると、一部の既定の SAML 構成情報が自動的に入力されます。
企業の電子メール ドメインを IdP 名として使用することをお勧めします。たとえば、企業の電子メール アドレスが @mycompany.com で終わる場合は、IdP 名として mycompany.com を使用します。
- SAML エンティティ ID を入力します。この値はアイデンティティ プロバイダ メタデータ ファイルにあります。
- シングル サインオン サービス URL を入力します。この値はアイデンティティ プロバイダ メタデータ ファイルにあります。
- シングル ログアウト サービス URL を入力します。この値はアイデンティティ プロバイダ メタデータ ファイルにあります。
- X.509 証明書 テキスト ボックスで、アイデンティティ プロバイダ メタデータ ファイルから X.509 証明書の値をコピーして貼り付けるか、ファイルを選択する をクリックして証明書をアップロードします。
SAML 構成ページにアップロードしたメタデータ ファイルに証明書が含まれている場合、X.509 証明書のテキスト ボックスが自動的に入力されます。X.509 証明書テキスト ボックスの証明書が正しいことを確認してください。
- 次へ をクリックします。
連絡先情報 ページが開きます。
- (任意) 技術者の連絡先を指定することができます。SSO に関する問題がある場合、WatchGuard は提供された情報を使用して組織に連絡します。連絡先情報ページの対応するテキスト ボックスに以下の情報を入力します。
- 連絡先の電子メール アドレス。
- 連絡先の名。
- 連絡先の姓。
- 連絡先の電話番号。この値には数字しか含めることができません。
- 次へ をクリックします。
サポート メッセージ ページが開きます。
- サポート メッセージ テキスト ボックスに、エラーが発生したときにユーザーに表示されるカスタム メッセージを入力します。カスタム メッセージを使用すると、ユーザーは、SSO に関する問題が発生した場合にサポート チームに連絡する方法を把握することができます。
- 次へ をクリックします。
SSO 参照 URL ページが開きます。
SSO 参照 URL ページは、会社に固有の複数の URL を提供します。これらは、各製品の SSO ログイン ページへの直接リンクです。URL は参考として提供されており、編集することはできません。
- 参照 URL をブックマークに追加するか、お気に入りに追加します。
- 保存 をクリックして WatchGuard アカウント SSO 構成ウィザードを完了します。
- WatchGuard Cloud に戻る をクリックします。
アカウントのSAML SSO を構成すると、各アカウントの管理ユーザーに対して SAML SSO によるログインが有効になります。
SSO でログインする
SAML SSO を構成すると、管理ユーザーは、同じ認証情報のセットを使用して WatchGuard Support Center および WatchGuard Cloud にログインできるようになります。SSO でログインするには、ログイン ページで SSO でログインする を選択します。
例:
- www.watchguard.com に移動して ログイン をクリックします。
ログイン ページが開きます。
- SSO でログインする を選択します。
SSO ログイン ページが開きます。
- テキスト ボックスに IdP 名を入力します。これは、前のセクション で SSO を構成した際に指定した値です。
- ログイン をクリックして、組織のシングル サインオン ページに移動します。
管理ユーザーが WatchGuard Cloud にログインする方法を制御する
AuthPoint による WatchGuard アカウント SSO 統合
Okta による WatchGuard アカウント SSO 統合
Azure Active Directory による WatchGuard アカウント SSO 統合
Duo および AuthPoint による WatchGuard アカウント SSO 統合