本記事では、OneLoginからCrowdStrikeへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- CrowdStrikeにおける 管理者権限 をお持ちであること
注意事項
CrowdStirkeではSAML認証とメール認証(メールアドレス・パスワードでのログイン)との併用を行うことが可能ですが、SAML認証の強制化を行うことも可能です(SSO強制化)。SSO強制化を行うと、管理者アカウント含めすべてのユーザーがメールアドレス・パスワードでのログインができなくなるため、OneLoginとのSAML連携の動作確認を十分に行ってからSSO強制化をCrowdStrikeサポートにリクエストしてください。
SAML連携の設定
1. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
- 検索欄に CrowdStrike と入力し、SAML2.0と書かれたコネクタをクリックします
-
[Save] をクリックします
-
More Actions > SAML Metadata を選択します
-
Configuration タブに移動し、Destination service(CrowdStrikeリージョン)を選択します
-
Access タブに移動し、割り当てるロールを選択します
-
[Save] をクリックします
以上でOneLogin側の設定は完了です。
2. CrowdStrike側の設定
-
CrowdStrikeサポートポータル を開き、CrowdStrikeの管理者権限を持つユーザーでログインします
- Support > Cases を選択します
- [Create Case]をクリックします
- OneLoginとのSAML連携を行うために、下記情報の共有を英語で行います
【お客様からCrowdStrikeサポート担当者へ送信する情報】
・Case Title:OneLoginとのSAML連携有効化リクエストを示すタイトル
・Description:会社名やOneLoginとのSAML連携有効化リクエストを示す説明
・Customer ID:CrowdStrikeのCustomer ID
・Preferred Working Time Zone:タイムゾーン
・Solution:Falcon Platform
・Falcon Product Area:Falcon Management Console
・Falcon Topic:Access Management and Users
CrowdStrikeのCustomer IDは以下の手順で確認します
1. CloudStrikeの管理画面のユーザーアイコンをクリックし、メールアドレスをクリックします
2. ユーザープロファイルの CID(Customer ID) が今回用いるCustomer ID となります
- 入力が完了したら Add Attachment After Case Creation をクリックします。Adding Attachment After Case Creation の表記に変更されていることを確認してから [Submit Case]をクリックします
- ファイルアップロードのポップアップが表示されるのでOneLogin側の設定の手順7でダウンロードした、SAMLメタデータを添付します
- ファイルの添付が完了すると、自動でケースが作成されます。サポート担当者からSAML認証の有効化が完了の連絡が来ましたら完了です
以上でSAML連携の設定は完了です。
シングルサインオンの動作確認
- CrowdStrikeのログインセッションがないプライベートブラウザを開き、CrowdStrikeにアクセスできるロールを持つテストユーザーでOneLoginにログインします
注:CrowdStrikeには、JIT Provisioning機能はございません。CrowdStrikeにこのテストユーザーと同じメールアドレスをもつアカウントを作成してからこの操作をご実施ください
- CrowdStrikeのコネクタをクリックします
-
正しくシングルサインオンされることを確認します
以上でシングルサインオンの動作確認は完了です。
SAML シングルサインオンの無効化
CrowdStrikeサポートポータル を開き、CrowdStrikeサポート担当者までお問い合わせください。
- 以下のようなSAML連携解除のリクエストをサポート担当者に送ります
【お客様からCrowdStrikeサポート担当者へ送信する情報】
・Case Title:OneLoginとのSAML連携解除リクエストを示すタイトル
・Description:会社名やOneLoginとのSAML解除リクエストを示す説明
・Customer ID:CrowdStrikeのCustomer ID
・Preferred Working Time Zone:タイムゾーン
・Solution:Falcon Platform
・Falcon Product Area:Falcon Management Console
・Falcon Topic:Access Management and Users
- SSO強制のリクエストが完了したら https://falcon.{ご利用のリージョン}.crowdstrike.com/login/sso へアクセスし、SSO可能だったユーザーのメールアドレスを入力します
- [Continue]をクリックします
- ここでパスワードの入力画面が表示されるので入力し、[Log in]をクリックします
OneLoginのログイン画面に移動した場合はSAML連携の設定が有効化されているため、CrowdStrikeサポート担当者までお問い合わせください
- 正常にログインできましたらSAML連携解除の動作確認は完了です
以上でSAML連携解除の手順は完了です。
SSO強制化の手順
SSO強制化を行う前に注意事項を確認してから以下の手順を行ってください。
- 以下のようなSSO強制化のリクエストをサポート担当者に送ります
【お客様からCrowdStrikeサポート担当者へ送信する情報】
・Case Title:OneLoginからのSSO強制化リクエストを示すタイトル
・Description:会社名やOneLoginからのSSO強制化リクエストを示す説明
・Customer ID:CrowdStrikeのCustomer ID
・Preferred Working Time Zone:タイムゾーン
・Solution:Falcon Platform
・Falcon Product Area:Falcon Management Console
・Falcon Topic:Access Management and Users
- SSO強制のリクエストが完了したら、 https://falcon.{ご利用のリージョン}.crowdstrike.com/login/ へアクセスし、SSO可能なユーザーのメールアドレスを入力します
- [Continue]をクリックします
- OneLoginのログイン画面に移動するので、Crowdstrikeのアカウントと紐づけているユーザーでログインします
ここでパスワードの入力画面が表示された場合はSSO強制化が完了していませんので、CrowdStrikeサポート担当者までお問い合わせください
- 正常にSSOできましたらSSO強制化の動作確認は完了です
以上でSSO強制化の手順は完了です。