Netskope - SAML認証（管理コンソールへのSSO）

本記事では、OneLoginからNetskope 管理コンソールへのSAML シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

SAML連携の設定

1. OneLogin側の操作

2. Netskope側の設定

3. OneLogin側の設定

SAML SSO連携の無効化

トラブルシュート

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Netskopeの管理者権限を所有していること

SAML連携の設定

1. OneLogin側の操作

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. NetskopeのRoleを管理するためのRoleをOneLoginに作成します
   Users > ［Roles］をクリックします
   
   
    
3. ［New Role］をクリックします
   
   
    
4. Netskope側と同一のRole名を入力し、［Save］をクリックします
   例）Tenant Admin
   
   
    
5. Applications メニューから［Applications］を選択します
   
   
    
6. ［Add App］をクリックします
   
   
    
7. Netskope と検索し、該当コネクタを選択します
   
   
    
8. ［Save］をクリックします
   
   
    
9. SSO タブに移動し、Issuer URL と SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
   
   
    
10. View Details をクリックします
    
    
     
11. X.509 Certificate の内容をクリップボードへコピーします
    

2. Netskope側の設定

1. Netskopeに管理者としてログインし、［Settings］をクリックします
   
   
    
2. Settings > ［Administration］をクリックします
   
   
    
3. SSOタブ > SSO > Netskope Settings > Assertion Consumer Service URLとService Provider Entity Idをコピーします
   
   
    
4. SSO/SLO Settings > ［EDIT SETTINGS］をクリックします
   
   
    

5. Settings内のSSO > Enable SSO にチェックを入れ、IDP URLとIDP ENTITY ID、IDP CERTIFICATEを下記の項目のように記入し、［SUBMIT］をクリックします

   Netskopeの項目	OneLoginの値
   IDP URL	手順19のSAML 2.0 Endpoint (HTTP)
   IDP ENTITY ID	手順19のIssuer URL
   IDP CERTIFICATE	手順21のX.509 Certificate

   
   

3. OneLogin側の設定

1. Configuration タブに移動し、2. Netskope側の設定 で取得した値を以下の通りに設定します

   OneLoginの項目	Netskopeの値
   SAML Consumer URL	手順11のAssertion Consumer Service URL
   SAML Audience	Service Provider Entity Id
   SAML Recipient	手順11のAssertion Consumer Service URL

   
   
    

2. Parameters タブに移動し、add-parameter［+］をクリックします
   
   
    
3. 任意の Field name を入力後、Include in SAML assertion にチェックを入れ、［Save］をクリックします
   
   
    
4. Value が - No default - であることを確認し、［Save］をクリックします
   
   
    
5. Rules タブに移動し、［Add Rule］をクリックします
   
   
    

6. 任意の Name を入力し、Conditions を設定します
   *Conditionsを設定しない場合、全ユーザーにRuleが適用されます。

   

    

7. Actions を設定します

   

   
   *1人のユーザーに複数のルールが割り当てられている場合、# の数字が大きいルールが適用されます。

   

    

8. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
   

SAML連携の設定は以上です。

SAML SSOの動作確認

1. OneLoginに対象ユーザーでログインし、設定した Netskope を選択します
   
   
    
2. SAML認証が完了し、NetskopeにSSOされることを確認します
   
   
   手順26以降はOneLoginとNetskopeのUser Provisioning連携をお考え、もしくは既にされている方のみお読みください。
   
   手順25まで設定を行ったコネクターでは、管理者のSSOのためのSAML認証と一般ユーザのUser Provisioningを設定しているため、全ユーザに割り当たっています。そのため、全ユーザがOneLoginのポータル画面でNetskopeのアイコンを確認することができます。これにより、誤ってログインを試みてしまうという問題がございます。この問題を防ぐために、手順26以降では管理者だけがOneLoginのポータル画面から確認することができるコネクターの設定をご紹介します
    
3. 手順25までで設定したNetskopeコネクターの Infoタブ を開きます
   Visible in portal を非表示に変更し、［Save］をクリックします
   
   
    
4. ［Applications］>［Add App］を選択します
   
   
   
   
    
5. アプリケーションを検索の検索欄に、 Quicklink SP (GET) を入力しSAML2.0コネクタを選択します
   
   
    
6. Add Quicklink SP(GET) ページの Display Name で、OneLoginポータルでの表示名を設定します
   例：Netskope (管理者ログイン)
   Rectangle IconとSquare Iconを設定し［Save］をクリックしてアプリを追加します
   
   
    
7. アプリが追加され、ページが遷移します
   再度、Rectangle IconとSquare Iconを設定します
   
   
    

8. Configuration タブに移動し、URL に https://{subdomain}.goskope.com と入力します

   

    

9. Access タブに移動し、Netskopeの管理者が属するロール を選択後、［Save］をクリックします
   
   
    
10. OneLoginに対象ユーザーでログインし、設定した Netskope を選択します
    
    
     
11. SAML認証が完了し、NetskopeにSSOされることを確認します
    

SAML SSOの動作確認は以上です。

SAML SSOの無効化

1. Netskopeに管理者としてログインし、［Settings］をクリックします
   
   
    
2. Settings > ［Administration］をクリックします
   
   
    
3. SSOタブ > SSO/SLO Settings > ［EDIT SETTINGS］をクリックします
   
   
    
4. Settings内のSSO > Enable SSO のチェックを外し、IDP URLとIDP ENTITY ID、IDP CERTIFICATEの内容を削除し、［SUBMIT］をクリックします
   
   
    
5. Netskopeのログイン画面を開き、IDとパスワードでログインを試みます
   
   
    
6. ログインに成功すれば、SAML連携の解除設定は完了です
   

トラブルシュート

• ロックアウトした場合のログイン方法: https://{subdomain}.goskope.com/locallogin にアクセスすることで、パスワード認証によるログインが可能です。