Secure Access Service Edge (SASE) でシングルサインオン (SSO) ポリシーを構成し、ユーザーがアプリケーションポータルにアクセスする際に SASE ID プロバイダー (IdP) を介して認証できるようにします。
前提条件
開始する前に、以下を確認してください。
ご利用のオフィスアプリケーションのリダイレクト URL
ポリシーの作成
SASE コンソールにログインします。
左側のナビゲーションウィンドウで、ID 認証および管理 > シングルサインオン を選択します。
[シングルサインオン] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] パネルで、次のパラメーターを設定します。
パラメーター 説明 [ポリシー名] ポリシーの名前。長さは 2~100 文字である必要があります。英字、数字、ハイフン (-)、アンダースコア (_) を使用できます。 [ポリシーステータス] ポリシーのステータス。ポリシーを有効化するには [有効] に設定し、一時的に無効化するには [無効] に設定します。 重要ポリシーを無効にすると、シングルサインオン (SSO) が失敗します。操作は慎重に行ってください。
[API アクセス権限付与] API 権限付与に使用する client_idとclient_secretの値。シングルサインオン (SSO) が機能するには、事前に API アクセスを有効にする必要があります。重要クライアントシークレットは機密情報として扱ってください。漏洩した場合は、削除して新しいものを再作成し、ローテーションを行ってください。
[リダイレクト URL] ご利用のオフィスアプリケーションのリダイレクト URL。アプリケーションの URL に含まれる redirect_uriパラメーターの値を設定します。SASE はこの URL をホワイトリストに追加し、認証後のログインリクエストの開始に使用します。[アプリケーション構成] 以下のパラメーターで指定されるアプリケーションの構成情報:[Issuer]、[Discovery Endpoint]、[Authorization Endpoint]、[Token Endpoint]、[Public Key Endpoint]、[UserInfo Endpoint]。IdP (Identity Provider) に接続する際に、これらのパラメーターを設定する必要があります。 [OK] をクリックします。
新しいポリシーがポリシーリストに表示されます。
次のステップ
SSO ポリシーを作成した後、ご利用のオフィスアプリケーションが使用する ID プロバイダーで必要な構成を完了します。構成は、使用する ID プロバイダーによって異なります。
構成が完了すると、ユーザーは SASE クライアントにログインしてオフィスアプリケーションにアクセスできます。SASE クライアントの詳細については、「SASE クライアントのインストールとログイン」をご参照ください。
特定のアプリケーションへのユーザーアクセスを制御するには、非公開アクセス機能を使用します。詳細については、「SASE にオフィスアプリケーションを追加する」をご参照ください。
ポリシーの管理
| 操作 | 手順 |
|---|---|
| ポリシーの変更 | 対象のポリシーを探し、[操作] 列の [編集] をクリックします。[編集] パネルで構成を表示または更新します。 |
| ポリシーの削除 | 対象のポリシーを探し、[操作] 列の [削除] をクリックします。 重要 ポリシーを削除すると、ユーザーはオフィスアプリケーションにアクセスできなくなります。慎重に実行してください。 |