メインコンテンツへスキップ

Salesforce SSO時のMFA必須化に対するOneLoginの修正対応(6月25日更新)

AWS Client VPN - SAML認証

ペンティオ サポート担当者
  • 作成日
  • 更新日

本記事では、Amazon VPCにアクセスするためのOneLoginからAWS Client VPNへのSAML シングルサインオン(SSO)の設定手順をご案内します。

 

目次

前提条件

1. OneLogin側の設定

2. AWS Certificate Manager (ACM)側の設定

3. AWS側のIDプロバイダーの設定

4. Amazon VPCの設定

5. Client VPNの設定

6. AWS Client VPN 接続テスト

 

前提条件

  • OneLoginのライセンスが StarterEnterpriseUnlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
  • OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
  • AWSのアカウントを所有していること
  • AWS IAM、VPC、Client VPN等の管理権限を所有していること
    *詳しくはAWSでご確認ください

 

1. OneLogin側の設定

  1. OneLoginに管理者でログインし、[管理]をクリックします
    OneLoginに管理者でログインし、管理をクリックします

     
  2. Applications メニューから[Applications]を選択します
    ApplicationsメニューからApplicationsを選択します

     
  3. Add App]をクリックします
    Add Appボタンをクリックします

     
  4. AWS ClientVPN と検索し、該当コネクタを選択します
    ClientVPN-04. png

     
  5. Visible in portal を無効にします
    ClientVPN-06. png

     
  6. Save]をクリックします
    ClientVPN-7. png

     
  7. More Actions > SAML Metadata を選択します
    ClientVPN-8. png

     
  8. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックしますClientVPN-9. png

 

2. AWS Certificate Manager (ACM)側の設定

AWS Client VPNでは正しいサーバーに接続されているかを確認するためにサーバー証明書をAWS Certificate Manager(ACM)に登録する必要があります。本章では、クライアントPCでOpenVPN easy-rsaを使用してサーバーとクライアント証明書とキーを生成後、そのサーバーの証明書とキーをコンソールからACMにアップロードする手順をご案内します。

*使用可能な証明書:プライベート証明書

  1. OpenVPN easy-rsaリポジトリをローカルにクローンし、easy-rsa/easyrsa3 フォルダに移動します

    $ git clone https://github. com/OpenVPN/easy-rsa. git
    $ cd easy-rsa/easyrsa3

    ClientVPN-55. png

     

  2. 新しいPKI環境を初期化します

    $ . /easyrsa init-pki

    ClientVPN-56. png

     

  3. 新しい認証機関(CA)を構築し、CA名を入力します

    $ . /easyrsa build-ca nopass


    例)PentioCA
    ClientVPN-57. png

     

  4. サーバー証明書とキーを生成します

    $ . /easyrsa build-server-full server nopass

    ClientVPN-58. png

     

  5. ホームディレクトリにcustom_folderを作成し、ルート証明書とサーバー証明書、キーをコピーします
    custom_folderに移動し、ルート証明書とサーバ証明書、キーが作成されていることを確認します

    $ mkdir ~/custom_folder/
$ cp pki/ca. crt ~/custom_folder/
$ cp pki/issued/server. crt ~/custom_folder/
$ cp pki/private/server. key ~/custom_folder/
$ cd ~/custom_folder/
$ ls

    ClientVPN-59. png

     

  6. 手順5までで作成した証明書をACMにインポートします
    AWSに管理者としてログインし、ACMを開き、[証明書のインポート]をクリックします
    ClientVPN-32. png

     

  7. 証明書のインポート を以下の通りに設定し、[次へ]をクリックします

    AWS 側の項目 設定する値
    証明書本文

    server. crt内の

    -----BEGIN CERTIFICATE----- 

    Base64–encoded certificate

    -----END CERTIFICATE-----

    すべてを入力します
    証明書のプライベートキー

    server. key内の

    -----BEGIN PRIVATE KEY-----

    Base64–encoded certificate

    -----END PRIVATE KEY-----

    すべてを入力します
    証明書チェーン

    ca. crt内の

    -----BEGIN CERTIFICATE-----

    Base64–encoded certificate

    -----END CERTIFICATE-----

    すべてを入力します

    ClientVPN-53. png

     

  8. 証明書がインポートされたことを確認します
    ClientVPN-54. png

 

AWS Certificate Manager (ACM)へのサーバー証明書インポートは以上です。

 

3. AWS側のIDプロバイダーの設定

  1. AWSに管理者としてログインし、IAM > アクセス管理 > [プロバイダを追加]をクリックします
    ClientVPN-10. png

     
  2. プロバイダのタイプSAML を選択し、任意の プロバイダ名 を入力します。メタデータドキュメントonelogin_metadata_xxxxxxx.xml を選択し、[プロバイダを追加]をクリックします
    ClientVPN-11. png

     
  3. {任意のプロバイダ名} が追加されました。と表示されることを確認します
    ClientVPN-12. png

 

*既存のVPCに接続する場合は、4. Amazon VPCの設定 は読み飛ばしてください

 

4. Amazon VPCの設定

本セクションではAmazon VPCの設定手順をご説明します。Amazon VPC(Amazon Virtual Private Cloud)とはAWSアカウント専用の仮想ネットワークです。Amazon VPCを使用することで定義した仮想ネットワーク内でAWSリソースを起動できます。VPNを用いてAWSリソースに接続するためにVCP設定する必要があります。

  1. VPCの管理コンソールを開き、[VPCを作成]をクリックします
    ClientVPN-37. png

     
  2. VPCの設定で名前タグとVPCのIPv4アドレス範囲を指定し、[VPCを作成]をクリックします
    CIDR ブロックサイズは、/16 ネットマスクと /28 ネットマスクの間で設定します
    ClientVPN-38. png

     
  3. {VPC名} が正常に作成されました と表示されることを確認します
    ClientVPN-39. png

     
  4. サブネットの管理コンソールを開き、[サブネットを作成]をクリックします
    ClientVPN-40. png

     
  5. VPC IDで手順3で作成してVPCを選択します
    ClientVPN-41. png

     
  6. サブネット名アベイラビリティゾーンIPV4 CIDR ブロックを入力し、[サブネットを作成]をクリックします
    ClientVPN-42. png

     
  7. 次にインターネットへの出入り口となるインターネットゲートウェイを設定します
    インターネットゲートウェイの管理コンソールを開き、[インターネットゲートウェイの作成]をクリックします
    ClientVPN-43. png

     
  8. インターネットゲートウェイの設定の名前タグを入力し、[インターネットゲートウェイの作成]をクリックします
    ClientVPN-44. png

     
  9. インターネットゲートウェイが作成されたことを確認し、アクション > [VPCにアタッチ]をクリックします
    ClientVPN-45. png

     
  10. 使用可能なVPCの欄で、手順3で作成したVPCを選択し、[インターネットゲートウェイのアタッチ]をクリックします
    ClientVPN-46. png

     
  11. ルートテーブルを設定します
    ルートテーブルの管理コンソールを開き、[ルートテーブルの作成]をクリックします
    ClientVPN-47. png

     
  12. 名前タグと手順3で作成したVPCを選択し、[作成]をクリックします
    ClientVPN-48. png

     
  13. 現状はVPC内宛のみでインターネットゲートウェイ宛の通信のためのルートが登録されていません
    そこで、[ルートの編集]をクリックし、インターネットゲートウェイ宛の通信のためのルートを登録します
    ClientVPN-49. png

     
  14. ルートの追加]をクリックします
    ClientVPN-50. png

     
  15. 送信先に 0. 0. 0. 0/0 、ターゲットに手順6で作成したインターネットゲートウェイを設定し、[ルートの保存]をクリックします
    以上で、インターネットゲートウェイ宛の通信のためのルートの設定は完了です
    また、VPCの設定も完了です
    ClientVPN-51. png

 

5. Client VPNの設定

  1. クライアントVPNエンドポイントを作成します
    VPCダッシュボード > 仮想プライベートネットワーク(VPN) > クライアントVPNエンドポイント を開き、[クライアントVPNエンドポイントの作成]をクリックします
    ClientVPN-13. png

     

  2. 以下の通りに設定し、[クライアントVPNエンドポイントの作成]をクリックします
    *下記の表以外の項目の設定はデフォルトのままで問題ありません。

    AWS 側の項目 設定する値
    名前タグ クライアントVPNエンドポイントの名前を設定します(例:pentio-vpn)
    クライアント IPv4 CIDR VPN接続時にクライアントに割り当てられるIPアドレスの範囲(例:10. 200. 0. 0/22)
    サーバー証明書ARN ACMにインポート済みのサーバー証明書を選択します
    *証明書のインポート方法に関してはAWS Certificate Manager への証明書のインポートをご参照ください
    認証オプション ユーザーベースの認証 > 統合認証 を選択します
    SAML プロバイダーARN 3. IDプロバイダーの設定の手順1~3で作成したIDプロバイダーを選択します

    接続ログ記録

     

    		 クライアント接続の詳細を記録するかどうかを設定します。本ドキュメントでは いいえ を選択します
    クライアント接続ハンドラ クライアント接続ハンドラを有効化するかどうかを設定します。本ドキュメントでは いいえ を選択します
    スプリットトンネルを有効にする スプリットトンネルを有効化すると、インターネットへの通信はVPNを使用しないため効率が高まるため 有効 にすることを推奨します

    ClientVPN-14. png
    ClientVPN-15. png

     

  3. クライアントVPNエンドポイントが作成されたことを確認します
    次にVPN接続後にアクセスすることができるVPCを設定します
    作成したクライアントVPNエンドポイントを選択し、関連付けタブ > [関連付け]をクリックします
    ClientVPN-16. png

     
  4. VPN接続後にアクセスすることができるVPCとVPC内のサブネットを選択し、[関連付け]をクリックします
    ClientVPN-17. png

     
  5. どのユーザーがどのネットワーク範囲にアクセスすることができるのかを制限するルールを設定します
    *すべてのユーザーがすべてのネットワーク範囲にアクセスすることを許可する場合でも本設定は必須です
    作成したクライアントVPNエンドポイントを選択し、認証タブ > [受信の承認]をクリックします
    ClientVPN-18. png

     
  6. アクセスを有効にする送信先ネットには、接続先のVPCのCIDR を入力し、アクセスを付与する対象には すべてのユーザーにアクセスを許可する を選択し、[認証ルールの追加]をクリックしますClientVPN-19. png

     
  7. クライアントVPNエンドポイントの状態が 使用可能 に変わったことを確認できましたら、クライアントVPNエンドポイントの設定は完了です
    ClientVPN-20. png

     
  8. 設定したクライアントVPNエンドポイントを選択し、[クライアント設定のダウンロード]をクリックします
    ClientVPN-21. png

     
  9. クライアント設定のダウンロードというポップアップ内の[ダウンロード]をクリックします
    ClientVPN-22. png

 

Client VPNの設定は以上です。

 

6. AWS Client VPN 接続テスト

  1. AWS Client VPN downloadからAWS VPN Client アプリをダウンロードします
    ClientVPN-23. png

     
  2. AWS VPN Client アプリを起動し、ファイル > [プロファイルを管理]をクリックします
    ClientVPN-24. png

     
  3. 表示された プロファイルを管理 というポップアップ内の[プロファイルを追加]をクリックします
    ClientVPN-25. png

     
  4. 表示名を入力し、5. Client VPNの設定の手順9でダウンロードしたファイルを選択します
    ClientVPN-26. png

     
  5. プロファイルが追加されたことを確認し、[完了]をクリックします
    ClientVPN-27. png

     
  6. 接続]をクリックします
    ClientVPN-28. png

     
  7. 自動的にブラウザが立ち上がり、OneLoginのログイン画面が表示されますのでユーザー名を入力し[続行する]をクリックします
    ClientVPN-29. png

     
  8. パスワードを入力し、[続行する]をクリックします
    ClientVPN-30. png

     
  9. MFAを設定している場合はMFA認証が求められます
    ClientVPN-31. png

     
  10. 認証が通ると「受信した認証の詳細、処理の詳細。このウィンドウをいつでも閉じることができます。」が表示されるとブラウザ側の処理は完了です
    ClientVPN-32. png

     
  11. 接続済み。と表示されることを確認します
    ClientVPN-33. png

 

AWS Client VPN接続テストは以上です。

関連記事

運営会社: ペンティオ株式会社サービス利用規程

CONFIDENTIAL

当ウェブサイトに掲載されている情報は一般公開されているコンテンツを除き、当社の承諾なくご契約者様以外への開示・転送・転載することはできません