ISAリモートコネクトを利用する際のOIDC認証プロバイダにIIJ IDサービスを設定する方法について知りたい
ISAリモートコネクトを利用する際のOpenID Connect(OIDC)認証プロバイダにIIJ IDサービス(以下IIJ ID)を設定する方法について説明します。
ISAリモートコネクトの認証プロバイダにIIJ IDを設定するためには、あらかじめ、IIJ ID側のカスタムアプリケーションの作成とパラメータの取得が必要です。
IIJ IDの「カスタムアプリケーション」の作成
ISAリモートコネクトでIIJ IDをOIDC認証プロバイダとして利用する場合、IIJ IDで「カスタムアプリケーション」の作成が必要です。
下記IIJ IDのマニュアルを参考に、作成いただくようお願いいたします。
【注意】
該当のアプリケーション設定から、利用者設定が必要です。 適切に設定されていない場合、認証に失敗します。
IIJ IDの「カスタムアプリケーション」のフェデレーション設定
なお、この際に入力が必要な「トップページURL」「リダイレクトURL」は
ISAポータルの「リモートコネクト」→「基本設定」→「連携情報」に記載がありますので、ご確認ください。
また、ISAリモートコネクトをOIDC認証で利用する際、以下の3つのパラメータが必要ですので、同画面から下記パラメータをお控えください。
- Discoveryエンドポイント
- クライアントID
- クライアントシークレット
ISAポータルでのリモートコネクトの設定
- ISAポータルにログインします。
- リモートコネクトをクリックします。
- 「基本設定」をクリックします。
- 「編集」をクリックします。
下記参考情報をもとに各項目に値を入力し、「保存」をクリックします。
【注意】
- 「保存」をクリックすると設定は即時反映されます。
- 設定変更時、リモートコネクト経由の通信は全て切断されます。設定変更後、ユーザにて再度接続が必要となります。
【参考】設定項目について
項目 | 説明 |
|---|---|
| KeepAliveタイムアウト | エージェントソフトウェアとリモートコネクトサーバ間の接続が有効であることを確認する通信が、タイムアウトと判定されるまでの時間を設定できます。 |
| DNSサーバ | クライアントが参照するDNSサーバを設定できます。 |
| プロキシ | クライアントからISAサービス経由でインターネットに接続する際に経由するセキュリティ機能を選択できます。 また、手動登録を行うことも可能です。 |
| 認証方式 | リモートコネクトで利用される認証連携する認証プロバイダの方式が表示されます。 |
| ドメイン | 認可するユーザIDのドメインを設定できます。 ここで設定したドメインと認証したユーザIDのドメインが一致した場合のみ認可を行います。 また、この認可に用いるユーザIDは、認証プロバイダから提供される「email claim」を利用します。 |
| 連携情報 | 認証プロバイダ側に設定が必要となる「トップページURL」および「リダイレクト先URL」が表示されます。 |
| 認証有効期限 | 認証されてからの有効期限を設定できます。 |
| Discoveryエンドポイント | 先述の「Discoveryエンドポイント」の指定が必要です。 |
| クライアントID | 先述の「クライアントID」の指定が必要です。 |
| クライアントシークレット | 先述の「クライアントシークレット」の指定が必要です。 |