SAML認証のリバースプロキシにNetskopeを利用する

この記事では、OneLoginからアプリケーションへのSSOにNetskopeをリバースプロキシとして利用する設定手順をご案内します。SSO先としてSalesforceを例にご説明します。

目次

前提条件

Netskope側の設定

OneLogin側の設定

1. アプリケーションごとの専用コネクタを使用する場合

2. 汎用コネクタを使用する場合

SAML SP（Salesforce）側の設定

リバースプロキシの動作確認

リバースプロキシの解除

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• すでにOneLoginとSAML SPの間でSAML認証連携設定が導入され正常に動作していること
• SAML SPの管理者権限をお持ちであること
• Netskopeの管理者権限をお持ちであること

Netskope側の設定

1. Netskopeの管理画面にログインします
   
   
    
2. Security Cloud Platform > REVERSE PROXY > SAML を選択します
   
   
    
3. ［Add Account］をクリックします
   
   
    

4. Reverse Proxy の New Account を以下の通りに設定します

   Netskope側の設定	入力する設定値
   ① NAME	任意の設定名
   ② APPLICATION	SAML連携にリバースプロキシを導入したいアプリケーションを選択
   ③ ACS URL	OneLoginとすでにSAML連携しているアプリケーションのACS URL
   ④ IDP SSO URL	OneLoginですでに使用しているSAMLコネクタのSAML 2.0 Endpoint (HTTP)
   ⑤ IDP CERTIFICATE	OneLoginですでに使用しているSAMLコネクタのX.509 Certificateのテキスト

   
   
    

5. ［SAVE AND VIEW NETSKOPE SETTINGS］をクリックします
   
   
    
6. Netskope を Reverse Proxy とする設定が確認できますので、以下の3点をコピーもしくはダウンロードします
   ・Organization ID
   ・SAML Proxy IdP URL
   ・SAML Certificate
   

OneLogin側の設定

1. アプリケーションごとの専用コネクタを使用する場合

OneLoginでは、Netskope をリバースプロキシとしてSAML認証ができるアプリケーション専用のコネクタを3種類ご用意しております。以下の3つのアプリケーションでは、専用のコネクタをぜひご活用ください。

• Box
• Google Workspace（G suite）
• Salesforce

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. Netskope for Salesforce と検索し、該当コネクタを選択します
   
   
    
5. ［Save］をクリックします
   
   
    
6. Configuration タブに移動し、SAML Proxy ACS URL に、2. Netskope側の設定 で取得した SAML Proxy ACS URL を貼り付けます
   
   
    
7. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
   
   
    
8. SSO タブに移動し、SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
   
   
    
9. View Details をクリックします
   
   
    
10. X.509 Certificate の内容をクリップボードへコピーします
    

2. 汎用コネクタを使用する場合

専用のコネクタがないSAMLアプリケーションにつきましても、汎用的なリバースプロキシコネクタを使用することで、Netskopeをリバースプロキシとして使用することが可能でございます。

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. Netskope Proxy Base App と検索し、該当コネクタを選択します
   
   
    
5. 任意の Display Name および アイコンを設定し、［Save］をクリックします
   
   
    

6. Configuration タブに移動し、Application details を以下の通りに設定します

   OneLogin側の設定項目	設定値
   SAML Proxy ACS URL	Netskopeから取得した SAML Proxy ACS URL
   SAML Audience	Salesforce（SP）から取得した Entity ID

   
   
    

7. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
   
   
    
8. SSO タブに移動し、SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
   
   
    
9. View Details をクリックします
   
   
    
10. X.509 Certificate の内容をクリップボードへコピーします
    

SAML SP（Salesforce）側の設定

1. Salesforceの管理画面にログインします
   
   
    
2. ID > シングルサインオン設定 を選択します
   
   
    
3. SAML シングルサインオン構成 の 編集 をクリックします
   
   
    

4. SAML シングルサインオン構成 を以下の通りに設定します

   Salesforceの設定項目	設定値
   ①発行者	Netskopeから取得した Organization ID
   ②ID プロバイダーの証明書	Netskopeから取得した SAML Certificate
   ③ID プロバイダーのログイン URL	OneLoginのコネクタから取得した SAML 2.0 Endpoint (HTTP)

   
   
    

5. ［保存］をクリックします
   

SAML連携の設定は以上です。

リバースプロキシの動作確認

1. OneLoginに対象ユーザーでログインし、設定した Netskope for Salesforce を選択します
   
   
    
2. SAML認証が完了し、SalesforceにSSOされることを確認します
   
   
    
3. 正しくリバースプロキシが実行されているか確認するため、Netskope の管理画面から Scope IT > Application Events を選択します
   
   
    
4. NetskopeをリバースプロキシとしたSalesforceへのログインログが確認できます

リバースプロキシの動作確認は以上です。

リバースプロキシの解除

1. SAML シングルサインオン設定 を以下の通りに設定します

   • 発行者
   • ID プロバイダーの証明書
   • ID プロバイダーのログイン URL

   Salesforceの設定項目	設定値
   ① 発行者	OneLoginのコネクタから取得した Issuer URL
   ② ID プロバイダーの証明書	OneLoginのコネクタで使用している X.509 Certificate
   ③ ID プロバイダーのログイン URL	OneLoginのコネクタから取得した SAML 2.0 Endpoint (HTTP)

   
   
    

2. ［保存］をクリックします
   

リバースプロキシの解除は以上です。