チュートリアル:Azure Active Directory シングル サインオン (SSO) と FortiGate SSL VPN の統合Tutorial: Azure Active Directory single sign-on (SSO) integration with FortiGate SSL VPN

このチュートリアルでは、FortiGate SSL VPN と Azure Active Directory (Azure AD) を統合する方法について説明します。In this tutorial, you'll learn how to integrate FortiGate SSL VPN with Azure Active Directory (Azure AD). Azure AD と FortiGate SSL VPN を統合すると、次のことができます。When you integrate FortiGate SSL VPN with Azure AD, you can:

  • Azure AD を使用して、FortiGate SSL VPN にアクセスできるユーザーを制御する。Use Azure AD to control who can access FortiGate SSL VPN.
  • ユーザーが自分の Azure AD アカウントを使用して FortiGate SSL VPN に自動的にサインインできるようにする。Enable your users to be automatically signed in to FortiGate SSL VPN with their Azure AD accounts.
  • 1 つの中央サイト (Azure Portal) でアカウントを管理できます。Manage your accounts in one central location: the Azure portal.

SaaS アプリと Azure AD の統合の詳細については、「Azure Active Directory のアプリケーション アクセスとシングル サインオンとは」をご覧ください。To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory?.

前提条件Prerequisites

開始するには、次が必要です。To get started, you need the following items:

  • Azure AD サブスクリプション。An Azure AD subscription. サブスクリプションがない場合は、無料アカウントを取得できます。If you don't have a subscription, you can get a free account.
  • シングル サインオン (SSO) が有効な FortiGate SSL VPN サブスクリプション。A FortiGate SSL VPN subscription with single sign-on (SSO) enabled.

チュートリアルの説明Tutorial description

このチュートリアルでは、テスト環境で Azure AD の SSO を構成してテストします。In this tutorial, you'll configure and test Azure AD SSO in a test environment.

FortiGate SSL VPN では、SP Initiated SSO がサポートされます。FortiGate SSL VPN supports SP-initiated SSO.

FortiGate SSL VPN を構成すると、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。After you configure FortiGate SSL VPN, you can enforce session control, which protects exfiltration and infiltration of your organization's sensitive data in real time. セッション制御は、条件付きアクセスを拡張したものです。Session control extends from Conditional Access. Microsoft Cloud App Security でセッション制御を強制する方法をご覧ください。Learn how to enforce session control with Microsoft Cloud App Security.

Azure AD への FortiGate SSL VPN の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に FortiGate SSL VPN を追加する必要があります。To configure the integration of FortiGate SSL VPN into Azure AD, you need to add FortiGate SSL VPN from the gallery to your list of managed SaaS apps:

  1. 職場または学校アカウントか、個人の Microsoft アカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal with a work or school account or with a personal Microsoft account.
  2. 左ウィンドウで、 [Azure Active Directory] を選択します。In the left pane, select Azure Active Directory.
  3. [エンタープライズ アプリケーション] に移動し、 [すべてのアプリケーション] を選択します。Go to Enterprise applications and then select All Applications.
  4. アプリケーションを追加するには、 [新しいアプリケーション] を選択します。To add an application, select New application.
  5. [ギャラリーから追加する] セクションで、検索ボックスに「FortiGate SSL VPN」と入力します。In the Add from the gallery section, enter FortiGate SSL VPN in the search box.
  6. 結果のパネルで [FortiGate SSL VPN] を選択し、アプリを追加します。Select FortiGate SSL VPN in the results panel and then add the app. お使いのテナントにアプリが追加されるのを数秒待機します。Wait a few seconds while the app is added to your tenant.

FortiGate SSL VPN に対する Azure AD SSO の構成とテストConfigure and test Azure AD SSO for FortiGate SSL VPN

B.Simon というテスト ユーザーを使用して、FortiGate SSL VPN に対する Azure AD SSO を構成してテストします。You'll configure and test Azure AD SSO with FortiGate SSL VPN by using a test user named B.Simon. SSO を機能させるには、Azure AD ユーザーと FortiGate SSL VPN の関連ユーザーとの間にリンク関係を確立する必要があります。For SSO to work, you need to establish a link relationship between an Azure AD user and the corresponding user in FortiGate SSL VPN.

FortiGate SSL VPN で Azure AD SSO を構成してテストするには、これらの大まかな手順に従います。To configure and test Azure AD SSO with FortiGate SSL VPN, you'll complete these high-level steps:

  1. Azure AD SSO を構成 して、この機能をユーザーに対して有効にします。Configure Azure AD SSO to enable the feature for your users.
    1. Azure AD のシングル サインオンをテストするための Azure AD テスト ユーザーを作成 します。Create an Azure AD test user to test Azure AD single sign-on.
    2. テスト ユーザーにアクセス権を付与 して、そのユーザーに対して Azure AD シングル サインオンを有効にします。Grant access to the test user to enable Azure AD single sign-on for that user.
  2. アプリケーション側で FortiGate SSL VPN SSO を構成 します。Configure FortiGate SSL VPN SSO on the application side.
    1. Azure AD のユーザーに対応するユーザーとして、FortiGate SSL VPN テスト ユーザーを作成 します。Create a FortiGate SSL VPN test user as a counterpart to the Azure AD representation of the user.
  3. SSO をテスト して、構成が正しく機能することを確認します。Test SSO to verify that the configuration works.

Azure AD SSO の構成Configure Azure AD SSO

これらの手順に従って、Azure portal で Azure AD SSO を有効にします。Follow these steps to enable Azure AD SSO in the Azure portal:

  1. Azure portalFortiGate SSL VPN アプリケーション統合ページで、 [管理] セクションの [シングル サインオン] を選択します。In the Azure portal, on the FortiGate SSL VPN application integration page, in the Manage section, select single sign-on.

  2. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。On the Select a single sign-on method page, select SAML.

  3. [SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の鉛筆ボタンを選択して設定を編集します。On the Set up Single Sign-On with SAML page, select the pencil button for Basic SAML Configuration to edit the settings:

    基本的な SAML 構成を編集するための鉛筆ボタンを示すスクリーンショット。

  4. [SAML によるシングル サインオンのセットアップ] ページで、次の値を入力します。On the Set up Single Sign-On with SAML page, enter the following values:

    a.a. [サイン オン URL] ボックスに、https://<FQDN>/remote/login というパターンの URL を入力します。In the Sign on URL box, enter a URL in the pattern https://<FQDN>/remote/login.

    b.b. [識別子] ボックスに、https://<FQDN>/remote/saml/metadata というパターンで URL を入力します。In the Identifier box, enter a URL in the pattern https://<FQDN>/remote/saml/metadata.

    c.c. [応答 URL] ボックスに、https://<FQDN>/remote/saml/login というパターンで URL を入力します。In the Reply URL box, enter a URL in the pattern https://<FQDN>/remote/saml/login.

    d.d. [ログアウト URL] ボックスに、https://<FQDN>/remote/saml/logout というパターンで URL を入力します。In the Logout URL box, enter a URL in the pattern https://<FQDN>/remote/saml/logout.

    注意

    これらの値は、ただのパターンです。These values are just patterns. 実際の サインオン URL識別子応答 URL、および ログアウト URL を使用する必要があります。You need to use the actual Sign on URL, Identifier, Reply URL, and Logout URL. ガイダンスについては、Fortinet サポートにお問い合わせください。Contact Fortinet support for guidance. Fortinet のドキュメントや Azure portal の [基本的な SAML 構成] セクションに示されているパターン例を参照することもできます。You can also refer to the example patterns shown in the Fortinet documentation and the Basic SAML Configuration section in the Azure portal.

  5. FortiGate SSL VPN アプリケーションでは、特定の形式の SAML アサーションを使用するため、カスタム属性マッピングを構成に追加する必要があります。The FortiGate SSL VPN application expects SAML assertions in a specific format, which requires you to add custom attribute mappings to the configuration. 次のスクリーンショットには、既定の属性一覧が示されています。The following screenshot shows the list of default attributes.

    既定の属性を示しているスクリーンショット。

  6. 次の表に、FortiGate SSL VPN に追加で必要な要求を 2 つ示します。The two additional claims required by FortiGate SSL VPN are shown in the following table. これらの要求の名前は、このチュートリアルの FortiGate コマンドライン構成の実行 に関するセクションで使用されている名前と一致する必要があります。The names of these claims must match the names used in the Perform FortiGate command-line configuration section of this tutorial.

    名前Name ソース属性Source attribute
    usernameusername user.userprincipalnameuser.userprincipalname
    groupgroup user.groupsuser.groups

    これらの追加の要求を作成するには、次の操作を実行します。To create these additional claims:

    1. [ユーザー属性と要求] の横にある [編集] を選択します。Next to User Attributes & Claims, select Edit.
    2. [新しい要求の追加] を選択します。Select Add new claim.
    3. [名前] で、ユーザー名 を入力します。For Name, enter username.
    4. [ソース属性] で、user.userprincipalname を選択します。For Source attribute, select user.userprincipalname.
    5. [保存] を選択します。Select Save.
    6. [グループ要求を追加する] を選択します。Select Add a group claim.
    7. [すべてのグループ] を選択します。Select All groups.
    8. [グループ要求の名前をカスタマイズする] チェック ボックスをオンにします。Seect the Customize the name of the group claim check box.
    9. [名前] で、グループ を入力します。For Name, enter group.
    10. [保存] を選択します。Select Save.
  7. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [証明書 (Base64)] の横にある [ダウンロード] リンクを選択し、証明書をダウンロードして、お使いのコンピューターに保存します。On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, select the Download link next to Certificate (Base64) to download the certificate and save it on your computer:

    証明書のダウンロード リンクを示すスクリーンショット。

  8. [FortiGate SSL VPN のセットアップ] セクションで、要件に基づいて適切な 1 つまたは複数の URL をコピーします。In the Set up FortiGate SSL VPN section, copy the appropriate URL or URLs, based on your requirements:

    構成 URL を示すスクリーンショット。

Azure AD のテスト ユーザーの作成Create an Azure AD test user

このセクションでは、Azure portal で B. Simon というテスト ユーザーを作成します。In this section, you'll create a test user named B.Simon in the Azure portal.

  1. Azure portal の左ペインで、 [Azure Active Directory] を選択します。In the left pane of the Azure portal, select Azure Active Directory. [ユーザー] を選択し、 [すべてのユーザー] を選択します。Select Users, and then select All users.
  2. 画面の上部にある [新しいユーザー] を選択します。Select New user at the top of the screen.
  3. [ユーザー] プロパティで、次の手順を実行します。In the User properties, complete these steps:
    1. [名前] ボックスに「B.Simon」と入力します。In the Name box, enter B.Simon.
    2. [ユーザー名] ボックスに「<username>@<companydomain>.<extension>」と入力します。In the User name box, enter <username>@<companydomain>.<extension>. たとえば、「 B.Simon@contoso.com 」のように入力します。For example, B.Simon@contoso.com.
    3. [パスワードを表示] をオンにし、 [パスワード] ボックスに表示された値を書き留めます。Select Show password, and then write down the value that's displayed in the Password box.
    4. [作成] を選択しますSelect Create.

テスト ユーザーへのアクセス権の付与Grant access to the test user

このセクションでは、FortiGate SSL VPN へのアクセスを B.Simon に許可することで、このユーザーが Azure シングル サインオンを使用できるようにします。In this section, you'll enable B.Simon to use Azure single sign-on by granting that user access to FortiGate SSL VPN.

  1. Azure portal で [エンタープライズ アプリケーション] を選択し、 [すべてのアプリケーション] を選択します。In the Azure portal, select Enterprise applications, and then select All applications.

  2. アプリケーションの一覧で [FortiGate SSL VPN] を選択します。In the applications list, select FortiGate SSL VPN.

  3. アプリの概要ページの [管理] セクションで、 [ユーザーとグループ] を選択します。On the app's overview page, in the Manage section, select Users and groups:

    [ユーザーとグループ] オプションを示すスクリーンショット。

  4. [ユーザーの追加] を選択し、 [割り当ての追加] ダイアログ ボックスで [ユーザーとグループ] を選択します。Select Add user, then select Users and groups in the Add Assignment dialog box:

    [ユーザーの追加] ボタンを示すスクリーンショット。

  5. [ユーザーとグループ] ダイアログ ボックスで、ユーザー の一覧で [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。In the Users and groups dialog box, select B.Simon in the Users list, and then click the Select button at the bottom of the screen.

  6. SAML アサーション内にロール値が必要な場合、 [ロールの選択] ダイアログ ボックスで、一覧からユーザーに適したロールを選択します。If you're expecting any role value in the SAML assertion, in the Select Role dialog box, select the appropriate role for the user from the list. 画面の下部にある [選択] ボタンをクリックします。Click the Select button at the bottom of the screen.

  7. [割り当ての追加] ダイアログ ボックスで [割り当て] を選びます。In the Add Assignment dialog box, select Assign.

テスト ユーザー用のセキュリティ グループを作成するCreate a security group for the test user

このセクションでは、テスト ユーザー用に Azure Active Directory にセキュリティ グループを作成します。In this section, you'll create a security group in Azure Active Directory for the test user. FortiGate では、このセキュリティ グループを使用して、VPN 経由のネットワーク アクセスをユーザーに許可します。FortiGate will use this security group to grant the user network access via the VPN.

  1. Azure portal の左ペインで、 [Azure Active Directory] を選択します。In the left pane of the Azure portal, select Azure Active Directory. 次に、 [グループ] を選択します。Then select Groups.
  2. 画面の上部にある [新しいグループ] を選択します。Select New group at the top of the screen.
  3. [新しいグループ] のプロパティで、これらの手順を完了します。In the New Group properties, complete these steps:
    1. [グループの種類] リストで [セキュリティ] を選択します。In the Group type list, select Security.
    2. [グループ名] ボックスに、「FortiGateAccess」と入力します。In the Group name box, enter FortiGateAccess.
    3. [グループの説明] ボックスに、FortiGate VPN アクセスを許可するグループ を入力します。In the Group description box, enter Group for granting FortiGate VPN access.
    4. [Azure AD roles can be assigned to the group (Preview)](Azure AD ロールをグループに割り当てることができる (プレビュー)) 設定には [いいえ] を選択します。For the Azure AD roles can be assigned to the group (Preview) settings, select No.
    5. [メンバーシップの種類] ボックスで、 [割り当て済み] を選択します。In the Membership type box, select Assigned.
    6. [メンバー] には [メンバーが選択されていません] を選択します。Under Members, select No members selected.
    7. [ユーザーとグループ] ダイアログ ボックスの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。In the Users and groups dialog box, select B.Simon from the Users list, and then click the Select button at the bottom of the screen.
    8. [作成] を選択しますSelect Create.
  4. Azure Active Directory の [グループ] セクションに戻った後、FortiGate Access グループを見つけ、オブジェクト ID を書き留めておきます。この情報は後で必要になります。After you're back in the Groups section in Azure Active Directory, find the FortiGate Access group and note the Object Id. You'll need it later.

FortiGate SSL VPN の SSO の構成Configure FortiGate SSL VPN SSO

Base64 SAML 証明書を FortiGate アプライアンスにアップロードするUpload the Base64 SAML Certificate to the FortiGate appliance

自分のテナントで FortiGate アプリの SAML 構成を完了した後に、Base64 でエンコードされた SAML 証明書をダウンロードしました。After you completed the SAML configuration of the FortiGate app in your tenant, you downloaded the Base64-encoded SAML certificate. この証明書を FortiGate アプライアンスにアップロードする必要があります。You need to upload this certificate to the FortiGate appliance:

  1. FortiGate アプライアンスの管理ポータルにサインインします。Sign in to the management portal of your FortiGate appliance.
  2. 左側のペインで、 [System](システム) を選択します。In the left pane, select System.
  3. [System](システム)[Certificates](証明書) を選択します。Under System, select Certificates.
  4. [Import](インポート) > [Remote Certificate](リモート証明書) の順に選択します。Select Import > Remote Certificate.
  5. Azure テナントの FortiGate アプリのデプロイからダウンロードした証明書に移動して選択し、 [OK] を選択します。Browse to the certificate downloaded from the FortiGate app deployment in the Azure tenant, select it, and then select OK.

証明書がアップロードされたら、 [System](システム) > [Certificates](証明書) > [Remote Certificate](リモート証明書) の名前をメモします。After the certificate is uploaded, take note of its name under System > Certificates > Remote Certificate. 既定では、REMOTE_Cert_ N (N は整数値です) という名前です。By default, it will be named REMOTE_Cert_ N, where N is an integer value.

FortiGate のコマンドライン構成を実行するComplete FortiGate command-line configuration

以下の手順では、Azure ログアウト URL を構成する必要があります。The following steps require that you configure the Azure Logout URL. この URL には疑問符 (?) が含まれています。This URL contains a question mark character (?). この記号を正常に送信するには、特定の手順を実行する必要があります。You need to take specific steps to successfully submit this character. それらの手順は、FortiGate CLI コンソールからは実行できません。You can't complete these steps from the FortiGate CLI Console. 代わりに、PuTTY などのツールを使用して、FortiGate アプライアンスへの SSH セッションを確立します。Instead, establish an SSH session to the FortiGate appliance by using a tool like PuTTY. ご利用の FortiGate アプライアンスが Azure 仮想マシンである場合、Azure 仮想マシンのシリアル コンソールから以下の手順を完了できます。If your FortiGate appliance is an Azure virtual machine, you can complete the following steps from the serial console for Azure virtual machines.

これらの手順を完了するには、以前にメモした値が必要になります。To complete these steps, you'll need the values you recorded earlier:

  • エンティティ IDEntity ID
  • [応答 URL]Reply URL
  • ログアウト URLLogout URL
  • Azure ログイン URLAzure Login URL
  • Azure AD 識別子Azure AD Identifier
  • Azure ログアウト URLAzure Logout URL
  • Base64 SAML 証明書名 (REMOTE_Cert_ N)Base64 SAML certificate name (REMOTE_Cert_ N)
  1. FortiGate アプライアンスへの SSH セッションを確立し、FortiGate 管理者アカウントでサインインします。Establish an SSH session to your FortiGate appliance, and sign in with a FortiGate Administrator account.

  2. これらのコマンドを実行します。Run these commands:

     config user saml
     edit azure
     set entity-id <Entity ID>
     set single-sign-on-url <Reply URL>
     set single-logout-url <Logout URL>
     set idp-single-sign-on-url <Azure Login URL>
     set idp-entity-id <Azure AD Identifier>
     set idp-single-logout-url <Azure Logout URL>
     set idp-cert <Base64 SAML Certificate Name>
     set user-name username
     set group-name group
     end
    
    

    注意

    Azure ログアウト URL には ? 文字が含まれています。The Azure Logout URL contains a ? character. FortiGate シリアル コンソールへのこの URL を正しく指定するには、特殊なキー シーケンスを入力する必要があります。You must enter a special key sequence to correctly provide this URL to the FortiGate serial console. 通常、URL は https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 です。The URL is usually https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0.

    シリアル コンソールで Azure ログアウト URL を入力するには、「set idp-single-logout-url https://login.microsoftonline.com/common/wsfederation」と入力します。To enter the Azure Logout URL in the serial console, enter set idp-single-logout-url https://login.microsoftonline.com/common/wsfederation.

    次に、Ctrl + V キーを押し、残りの URL を貼り付けて、set idp-single-logout-url https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 のように行を完成させます。Then select CTRL+V and paste the rest of the URL to complete the line: set idp-single-logout-url https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0.

グループ照合のために FortiGate を構成するConfigure FortiGate for group matching

このセクションでは、テスト ユーザーを含むセキュリティ グループのオブジェクト ID を認識するように、FortiGate を構成します。In this section, you'll configure FortiGate to recognize the Object Id of the security group that includes the test user. この構成により、FortiGate ではグループ メンバーシップに基づいてアクセスを判断できるようになります。This configuration will allow FortiGate to make access decisions based on the group membership.

これらの手順を完了するには、このチュートリアルの前の方で作成した FortiGateAccess セキュリティ グループのオブジェクト ID が必要となります。To complete these steps, you'll need the Object Id of the FortiGateAccess security group that you created earlier in this tutorial.

  1. FortiGate アプライアンスへの SSH セッションを確立し、FortiGate 管理者アカウントでサインインします。Establish an SSH session to your FortiGate appliance, and sign in with a FortiGate Administrator account.

  2. これらのコマンドを実行します。Run these commands:

     config user group
     edit FortiGateAccess
     set member azure
     config match
     edit 1
     set server-name azure
     set group-name <Object Id>
     next
     end
     next
     end
    

FortiGate VPN ポータルとファイアウォール ポリシーの作成Create a FortiGate VPN Portals and Firewall Policy

このセクションでは、FortiGate VPN ポータルと、このチュートリアルの前の方で作成した FortiGateAccess セキュリティ グループへのアクセス権を付与するファイアウォール ポリシーを構成します。In this section, you'll configure a FortiGate VPN Portals and Firewall Policy that grants access to the FortiGateAccess security group you created earlier in this tutorial.

FortiGate サポート チームと連携して、VPN ポータルとファイアウォール ポリシーを FortiGate VPN プラットフォームに追加してください。Work with the FortiGate support team to add the VPN Portals and Firewall Policy to the FortiGate VPN platform. シングル サインオンを使用する前に、この手順を完了する必要があります。You need to complete this step before you use single sign-on.

シングル サインオンのテストTest single sign-on

このセクションでは、アクセス パネルを使用して Azure AD のシングル サインオン構成をテストします。In this section, you'll test your Azure AD single sign-on configuration by using Access Panel.

アクセス パネルで [FortiGate SSL VPN] タイルを選択すると、SSO を設定した FortiGate SSL VPN に自動的にサインインします。When you select the FortiGate SSL VPN tile in Access Panel, you should be automatically signed in to the FortiGate SSL VPN for which you set up SSO. アクセス パネルの詳細については、アクセス パネルの概要に関する記事を参照してください。For more information about Access Panel, see Introduction to Access Panel.

Microsoft と FortiGate では、最適なエンドユーザー エクスペリエンスを実現するために、Fortinet VPN クライアントである FortiClient を使用することをお勧めしています。Microsoft and FortiGate recommend that you use the Fortinet VPN client, FortiClient, for the best end-user experience.

その他のリソースAdditional resources