Zscaler - SAML認証

本記事では、OneLoginからZscaler Client ConnectorへのSAML シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

SAML連携の設定手順

1. OneLogin側の設定

2. Zscaler側の設定

エンドユーザーがZscaler Client Connectorへサインインする時の手順

SAML シングルサインオンの無効化

トラブルシュート

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Zscalerにおいて 管理者権限 をお持ちであること

SAML連携の設定手順

1. OneLogin側の設定

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4.  ZScaler (All Tenants) と入力し、SAMLコネクタを選択します
   
   
    
5. Visible in portal を変更し、［Save］をクリックします
   *ZscalerはOneLoginポータル画面からのSSOに対応していません。エンドユーザーがOneLoginポータルからZscalerにアクセスすることがないよう、Visible in portal を無効に設定してください。
   
   
    
6. Parameters タブへ移動し、NameID (Login) を選択します
   
   
    
7. Value をZscaler上のユーザーIDと一致する値に変更します
   例）Email
   
   
    
8. ［Save］をクリックします
   
   
    
9. SSO タブへ移動し、SAML Signature Algorithm を SHA-256 に変更します
   
   
    
10. Access タブに移動し、割り当てたいユーザーが属するロールを選択します
    
    
     
11. ［Save］をクリックします
    
    
     
12. SSO タブへ移動し、SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
    
    
     
13. View Details をクリックします
    
    
     
14. ［Download］をクリックします
    

OneLogin側の設定は以上です。

2. Zscaler側の設定

1. Zscalerの管理コンソールにログインし、管理 >［認可］をクリックします
   
   
    
2. IDプロバイダータブ >［追加 IdP］をクリックします
   
   
    
3. ユーザーまたはロケーションのサブセットの別のSAML IdPを追加します。を選択し、［次へ］をクリックします
   
   
    

4. 名前、ステータス、SAMLポータルURL、ログイン名の属性、ベンダー、認証ドメイン を下表のように設定します
   

   設定する項目	設定する値
   名前	任意の名前（例：OneLogin）
   ステータス	有効
   SAMLポータルURL	手順1.9でコピーした SAML 2.0 Endpoint (HTTP)
   ログイン名の属性	NameID
   ベンダー	OneLogin
   認証ドメイン	任意のドメイン（例：pentio.com）

5. 先ほどダウンロードしたSAML証明書をアップロードします
   
   
    
6. ［保存］をクリックします
   
   
    
7. 認証プロファイルタブ >  認証タイプ を［SAML］に設定します
   
   
    
8. ［保存］をクリックします
   
   
    
9. 有効化タブ >［有効化］をクリックします
   

以上でSAML連携の設定は完了です。

エンドユーザーがZscaler Client Connectorにサインインする時の手順

エンドユーザーはZscaler Client Connectorに、下記の手順でサインインすることができます（下記はWindows11にZscaler Client Connectorをインストールする例を紹介しています）

1. Zscaler Client Connectorのインストーラを起動し、［Next］をクリックします
   
   
    
2. I accept the terms in the License Agreement. にチェックを入れ、［Next］をクリックします
   
   
    
3. インストールする場所を選択し、［Next］をクリックします
   
   
    
4. ［Install］をクリックします
   
   
    
5. ［はい］をクリックします
   
   
    
6. インストールが完了すると自動でZscaler Client Connectorが起動するので、EmailまたはUsernameを入力し、［Login］をクリックします
   
   
    
7. OneLoginのログイン画面が表示されるので、ログインします
   

以上の手順でZscaler Client Connectorを起動することができます。

SAML シングルサインオンの無効化

1. Zscalerの管理コンソールにログインし、管理 >［認可］をクリックします
   
   
    
2. 認証プロファイルタブ >  認証タイプ を［フォームベース］に設定します
   
   
    
3. ［保存］をクリックします
   
   
    
4. ［OK］をクリックします
   
   
    
5. 有効化タブ >［有効化］をクリックします
   

SAML シングルサインオンの無効化は以上です。

トラブルシュート

An internal error occurred while processing your authentication request. Please try authenticating again. If the issue persists, contact your administrator と表示された

Zscaler Client ConnectorはOneLoginポータル画面からのSSOに対応していません。手順1.5でVisible in portalを無効にし、Zscaler Client Connectorを起動してログインしてください。