LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@khayama(Kyouhei Hayama)inCloudflare Japan 株式会社

Cloudflare Zero Trust と Gluegent Gate を SAML で SSO 連携する

Last updated at Posted at 2024-07-08

目的

Cloudflare Zero Trust と Gluegent Gate を SAML で SSO 連携します。

Gluegent Gate とは

国産 IDaaS ソリューションです。

image.png

Gluegent Gate から証明書をダウンロード

Gluegent Gate 管理画面「システム」-「idP証明書」にて、「使用中」となっている証明書をダウンロードします。
次のステップで使用します。

image.png

Cloudflare (SP) 側で Gluegent Gate (IdP) を登録

以下の手順に沿って進めます。

Gluegent Gate (IdP) 側 SAML 情報は、以下からパラメータを参考にします。

Gluegent Gate のユーザーグループは groups として SAML attribute を登録することで、Cloudflare Gateway ポリシーの User Group セレクタで利用できます。

グループの管理 – クラウドコンシェルジュ

ユーザーグループ
このグループは Gluegent Gate のアクセス制御に利用できる他、連携するクラウドサービス (Google Workspace、Microsoft 365 など) のグループとしても同期されます。

フィールド
Single sign-on URL https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=<テナント ID>
IdP Entity ID or Issuer URL https://slink.secioss.com/<テナントID>
Signing certificate ダウンロードした証明書の中身
Email attribute name email
SAML attributes (Optional) email
seciossSystemId
uid
employeeNumber
surName
givenName
displayName
department
seciossLocaleCode
preferredLanguage
seciossGroup --> groups
seciossSecurityGroup
seciossBusinessRole など

image.png

Gluegent Gate (IdP) 側で SAML SP (Cloudflare) を登録

以下リンク先の SP 側の情報 の手順に沿って進めます。

パラメータは以下の通りにします。

または「メタデータ > URL」から https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/saml-metadata を「読み込む」ことで以下の情報が自動で入力されます。

フィールド
エンティティID https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
Assertion Consumer Service https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
ログアウトURL https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/logout
IDの属性 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
ユーザーIDの属性 メールアドレス
SP証明書 https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/certspublic_certs.cert から取得できる値

また、「送信する属性」は Cloudflare で設定した SAML attributes と一致させることでメタデータとして Cloudflare Zero Trust ポリシーに活用することができます。

image.png
image.png
image.png

Gluegent Gateで「ユーザー」の新規登録

SSO 連携をテストするためのユーザーを作成します。
許可するサービスで「Cloudflare Zero Trust」をチェックします。

image.png

Gluegent Gateで「認証」の設定

通常の「ID/パスワード認証」でのユーザーログインを許可する認証ルールを作成します。

image.png

Gluegent Gateで「アクセス権限」の設定

アクセス権限ルールで、認証に成功した接続に対し、Cloudflare Zero Trust サービスへの認可(アクセス権)を付与します。

image.png

シングルサインオン (SSO) でのログイン確認

以上の準備が整ったら、Cloudflare Zero Trust の Settings > Authentication から Gluegent Gate の SSO 連携をテストします。

Gluegent Gate の ID/パスワード認証画面に飛ばされてログインした後に以下のような画面となれば連携に成功しています。

image.png

image.png

image.png

Gateway ポリシーにおけるグループ設定確認

以下のように User Group Names セレクタ選択時に、リストとして表示されることが確認できます。

Gluegent Gate のユーザーグループは groups として SAML attribute を登録することで、Cloudflare Gateway ポリシーの User Group セレクタで利用できます。

グループの管理 – クラウドコンシェルジュ

ユーザーグループ
このグループは Gluegent Gate のアクセス制御に利用できる他、連携するクラウドサービス (Google Workspace、Microsoft 365 など) のグループとしても同期されます。

image.png

まとめ

一般的な SSO 連携方式である SAML 2.0 に対応している IdP であれば、Cloudflare Zero Trust と簡単に連携できることが確認できました。

Gluegent Gate を主な IdP としている日本企業も安心して Cloudflare Zero Trust を利用できます。

お題は不問!Qiita Engineer Festa 2024で記事投稿!
Qiita Engineer Festa20242024年7月17日まで開催中!
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?