本記事では、OneLogin から Zscaler Private Access (ZPA) へのSAML シングルサインオン(SSO)の設定手順をご案内します。
*本記事は管理者向けです。エンドユーザー向けのSAML SSOの設定手順は Zscaler Private Access (User) - SAML認証 をご参照ください。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- ZPAの管理者アカウントを所持していること
SAML連携の設定
1. OneLogin側の操作
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Zscaler Private Access Administrator 2.0 と検索し、該当コネクタを選択します
- [Save]をクリックします
- More Actions > SAML Metadata を選択します
2. ZPA側の設定
- ZPAに管理者アカウントでログインします
- Authentication > User Authentication > IdP Configuration を選択します
-
[+]をクリックします
- 任意の Name を入力します
*ピリオド(.)、ハイフン(-)、アンダースコア(_)以外の記号や特殊文字を含めることはできません。
例)OneLogin_Admin
- Single Sign-On > Admin を選択します
-
Domains から使用するドメインを選択します
- 設定が完了したら[Next]をクリックします
-
Service Provider URL または Service Provider Entity ID に含まれる識別子をクリップボードへコピーします
例)https://samlsp.private.zscaler.com/auth/297743256215981466/ssoの場合、297743256215981466をクリップボードへコピー
- [Next]をクリックします
- SAML CONFIGURATION > IdP Metadata File > [Select File]をクリックし、1. OneLogin側の操作 で取得した
onelogin_metadata_xxxxxxx.xmlをアップロードします
-
IdP Certificate, Single Sign-On URL, IdP Entity ID が反映されたことを確認します
- SAML認証を強制する場合は、Force Authentication を Enabled に変更します
*ロックアウトを防ぐため、SAML SSOの動作確認 が完了してから有効にしてください。
- [Save]をクリックします
-
Status が有効になっていることを確認します
3. OneLogin側の設定
-
Configuration タブに移動し、Unique identifier に 2. ZPA側の設定 で取得した識別子を貼り付けます
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
SAML連携の設定は以上です。
SAML SSOの動作確認
- OneLoginに対象ユーザーでログインし、設定した Zscaler Private Access Administrator 2.0 を選択します
- SAML認証が完了し、ZPAにSSOされることを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- ZPAに管理者アカウントでログインします
- Authentication > User Authentication > IdP Configuration を選択します
-
× をクリックします
- [Delete]をクリックします
SAML SSOの無効化は以上です。