Nozomi Networks VantageにSAMLでシングルサインオン(SSO)してみた

こんにちは。NOZOMI製品を担当している木村です。

今回はNOZOMI VantageのログインをMicrosoft Entra ID (旧 Azure Active Directory)を使ってシングルサインオンする設定をご紹介いたします。

AzureのメニューからMicrosoft Entra ID を開きます。

エンタープライズアプリケーションを開きます。

新しいアプリケーションを開きます。

独自のアプリケーションの作成を開きます。

アプリの名前に適切な名前を設定します。

ギャラリーに見つからないその他のアプリケーションを統合します（ギャラリー以外）にチェックを入れます。

最後に作成をクリックします。

ユーザーとグループの割り当てをクリックします。

ユーザーまたはグループの追加をクリックします。

選択されていませんをクリックします

SSOで使用するログインユーザーを選択します。

割り当てをクリックします。

補足）今回はユーザーが所属するセキュリティグループをSAMLアサーション属性でVantageに受け渡し、Vantage上のグループとマッチングします。適宜ユーザーのセキュリティグループを設定してください。グループはEntra IDのグループ画面から設定できます。

次に、シングルサインオンの作業の開始をクリックします。

SAMLをクリックします。

基本的なSAML構成の編集をクリックします。

識別子の追加をクリックしてエンティティIDを設定します。

以下のようなURLになります。

https://<VantageのURL> /api/v1/saml/metadata

応答URLの追加をクリックしてAssertion Consumer Service URLを設定します。

以下のようなURLになります。

https:// <VantageのURL>/api/v1/saml/auth

保存をクリックします。

属性をクレームの編集をクリックします。

グループ要求を追加するをクリックします。

セキュリティグループにチェックを入れます。

保存をクリックします。

SAML証明書のフェデレーションメタデータXMLをダウンロードします。

Microsoft Entra 識別子をコピーしておきます。

以上でAzure側の設定は完了です。

次にVantage側の設定に移ります。

AdministrationのSAML SSO を開きます。

Enable SAML Single Sign Onにチェックを入れます。

Metadata XMLで、先の手順でAzureからダウンロードしたフェデレーションメタデータXMLを選択します。

Entity IDで、先の手順でコピーしたMicrosoft Entra識別子をペーストします。

Role attributeには、以下のURLを入力します。これは、Azure側でユーザーに設定したセキュリティグループを表すSAMLアサーション属性を表します。

http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

Saveをクリックして保存します。

ここで一旦SSOのテストを行います。

デバッグにSAML TracerというWebブラウザの拡張機能を利用します。 

https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?hl=ja&pli=1

Vantageのログイン画面のSingle Sign Onをクリックします。

Microsoftのログイン画面にリダイレクトされます。

Entra ID上で設定したアカウント情報を入力します。

今の状態ではログインは成功しません。Vantage上にEntra IDから受け取ったユーザーのグループが存在していないためです。

SAML Tracerのログでグループ情報を受け取っていることを確認します。オレンジのSAMLというアイコンのある行を選択します。２行ありますが、POSTメソッドの行を選択します。SAMLの属性値をコピーしておきます。属性値はUUID形式です。

VantageのAdministrationのGroup画面で新規グループを作成します。SAML name or ID の欄に先ほどコピーしたUUID形式の属性値を入力するのがポイントです。

グループを作成したら、役割を割り当てます。この例ではadminを割り当てています。これで、Entra ID のセキュリティグループとVantageのグループと役割の紐づけが完了し、SSOログインが可能になります。

再度、Vantageのログイン画面からテストし、無事ログインできました。

VantageのUser画面でSSOログインしたユーザーが追加されていることが確認できます。

以上で作業は完了です。

以下にNOZOMI社が公開している説明書がございます。併せてご覧いただけますと幸いです。

https://technicaldocs.nozominetworks.com/products/vantage/topics/administration/saml-integration/t_vantage_config_saml-integration_azure.html

https://technicaldocs.nozominetworks.com/products/vantage/topics/administration/saml-integration/t_vantage_config_saml-integration_sso.html

Vantageの運用に一役買えたなら幸いです。