GMOトラスト・ログイン ブログ シングルサインオン(SSO)や
認証に関する話題

GMOトラスト・ログインとCloudflare Zero Trust(Cloudflare Access)をSAML連携する手順は?

2024/10/25

cloudflare03.png近年、さまざまなメーカーがSASE関連の機能を提供し始めていますが、Cloudflareも多様なネットワークセキュリティ機能を提供しています。Cloudflareは、主力事業としてCDN(コンテンツ・デリバリ・ネットワーク)サービスを展開しています。

CDNとは、インターネット上でコンテンツ(画像、動画、CSS、JavaScript、HTMLなど)を効率的に配信するための分散型ネットワークのことです。複数のサーバーを世界中に分散配置し、ユーザーに最も近いサーバーからコンテンツを配信することで、ウェブサイトの表示速度やパフォーマンスを向上させるとともに、サーバー負荷の分散やダウンタイムの防止を図ります。同種のサービスとして、AkamaiやAmazonのCloudFrontなども有名です。

Cloudflareの強みの一つは、世界中に分散した広範なネットワークを有している点なのですが、それを活かし、近年ではSASE領域にもカバレッジを広げています。

今回は、Cloudflareが提供する「Cloudflare Zero Trust」がどのような機能を持っているか、またGMOトラスト・ログインとCloudflareを連携させることでどのようなメリットが得られるかについて解説いたします。

 

■Cloudflare Zero Trustとは?

Cloudflare Zero Trustは、Cloudflareが提供しているサービスで、企業がネットワークとセキュリティを統合して、ユーザーやデバイスがどこからでも安全にアクセスできるようにするためのプラットフォームです。

Cloudflare Gateway、Cloudflare Edge、Cloudflare Accessなどで構成されており、
ZTNA、SWG、RBI、DLPといった機能を提供しています。
それぞれどのような効果があるかはあるか以下の表をご覧ください。

機能 機能概要・導入効果
ZTNA ゼロトラストの原則に基づき、ユーザーやデバイスの認証を行い、特定のアプリケーションやデータへのアクセスを制御する技術です。VPNとは異なり、ネットワーク全体ではなく特定のリソースへのアクセスを許可し、動的な情報でも認証をすることが可能です。
SWG インターネットへのアクセスを制御し、悪意のあるサイトやコンテンツからユーザーを保護するセキュリティソリューションです。URLフィルタリング、アンチウイルスなどの機能があり、中から外の通信のみ制御します。
RBI ウェブブラウジングをリモートの仮想環境で行うことで、マルウェアやフィッシング攻撃からデバイスを保護します。ユーザーのデバイスに直接ウェブコンテンツが届かず、セキュリティが向上します。
DLP 機密情報や重要データの漏洩を防ぐためのシステムです。ファイルを自動で検知し機密情報が含まれていればアラートをあげるという動作などが可能です。

■GMOトラスト・ログインと Cloudflare Zero TrustのSAML連携することのメリット

Cloudflare Zero Trustは、GMOトラスト・ログインの連携アプリとして登録されており、管理画面から簡単にSAML連携の設定が可能です。

GMOトラスト・ログインとCloudflare Zero TrustをSAML連携することにより、以下のメリットを得られます。

1.SSO(シングルサインオン)の導入でログインの手間を削減

SAML連携を利用することで、Cloudflare経由で接続するSaaSアプリケーションに対し、毎回ログイン情報を入力する必要がなくなります。

通常、Cloudflareを介してSaaSに接続する場合、SSOが未導入だとその都度認証が求められますが、トラスト・ログインを導入することでこの手間を解消でき、利便性が向上します。

2.パスワード漏洩リスクの軽減

利用するSaaSが増えるほど、パスワード管理の負担や漏洩リスクも高まります。メモやファイルでの管理は特に危険ですが、SSOを導入することでユーザーが個別のパスワードを管理する必要がなくなり、漏洩リスクを軽減できます。

3.パスワード忘れや管理負担の軽減

パスワードを忘れるユーザーが増えると、管理者側でのパスワード再発行やアカウントロック解除などの対応が必要になります。SSOを導入することで、パスワード忘れの問題が減少し、管理者の負担も軽減できます。

4.SAML JIT(Just-In-Time)プロビジョニングでアカウントを自動的に作成・更新

CloudflareはSAML JIT(Just-In-Time)プロビジョニングにも対応しているため、Cloudflare側のアカウントをGMOトラスト・ログイン側へ自動的に作成・更新することができます。


このように、GMOトラスト・ログインとCloudflare Zero TrustのSAML連携を活用することで、セキュリティと利便性の両立を実現できます。

以下は構成図となります。

cloudflare.png

SAML連携とは?

ここでSAML連携についても説明いたします。
SAMLとは、”Security Assertion Markup Language”の略で、異なるドメインやアプリケーション間で認証と認可の情報を安全に交換するためのXMLベースの標準規格です。
SAMLを利用することで以下のようなメリットがあります。

SSOを実現し、セキュリティと管理の効率化を図ることができます。また、ユーザーの属性情報を基にアクセス権限を細かく設定できるため、柔軟なアクセス制御が可能になります。

詳細については以下のブログもご覧ください。
「SAMLでID・パスワード管理をシンプルに」https://blog.trustlogin.com/articles/2017/20170922

■GMOトラスト・ログインと Cloudflare Zero Trust をSAML連携する方法

今回は、GMOトラスト・ログインをIdP(アイデンティティプロバイダ)として、SAML連携の設定を行います。

設定手順は、まずGMOトラスト・ログイン側で必要な設定を行い、その後、Cloudflare側での設定を進める流れになります。

◇GMOトラスト・ログインの管理ページの設定

1. GMOトラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。

CloudFlare_SAML連携手順_1.png


2. 「企業アプリ登録」画面で検索し、「Cloudflare (SAML)」を選択します。

CloudFlare_SAML連携手順_2.png


3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」ボタンからメタデータをダウンロードします。

CloudFlare_SAML連携手順_3.png


4. 「サービスプロバイダーの設定」の「ログインURL」「エンティティID」「サービスへのACS URL」の空欄3箇所に、Cloudflare Zero Trust の「team name」を入力します。
※team name は Cloudflare Zero Trust の「Settings > General >Team domain」で確認できます。

CloudFlare_SAML連携手順_4.png


5. 「登録」ボタンで保存します。

6. この後のCloudflare の設定で接続テストを行うため、設定を行なっている管理者を作成したSAMLアプリにメンバー追加します。「管理ページ > アプリ」メニューで「Cloudflare (SAML)」アプリを検索し、「メンバー追加」で管理者アカウントを追加します。

CloudFlare_SAML連携手順_5.png

 

◇Cloudflare の設定

7. 管理者アカウントでCloudflareダッシュボードにログイン後、左メニューから「Zero Trust」を開きます。

CloudFlare_SAML連携手順_6.png


8. 「Settings > Authentication」を開きます。

CloudFlare_SAML連携手順_7.png


9. 「Login methods」の「Add new」ボタンをクリックします。

CloudFlare_SAML連携手順_8.png


10. 「SAML」を選択します。

CloudFlare_SAML連携手順_13.png


11. 「Name」に任意の名称を入力し、GMOトラスト・ログインからダウンロードしたメタデータをドロップエリアにドラッグ&ドロップします。

CloudFlare_SAML連携手順_10.png


12. メタデータをドロップすると、その下の「Single sign-on URL」「IdP Entity ID or Issuer URL」「Signing certificate」に値が自動反映されたことを確認します。

CloudFlare_SAML連携手順_11.png


13. 「SAML attributes」までスクロールし、「+ Add attributes」で行を追加します。3行に「email」「firstName」「lastName」と入力します。

CloudFlare_SAML連携手順_12.png

14. 「Save」ボタンで保存します。


15. 作成したSAML設定の右の「Test」をクリックします。

CloudFlare_SAML連携手順_13.png


16. 「Your connection works!」の表示が出たら接続テスト成功です。

CloudFlare_SAML連携手順_14.png

 

■GMOトラスト・ログインを導入することのメリットとは?

GMOトラスト・ログインを導入する最大のメリットは、さまざまな認証強化機能を一括して実装できる点です。

GMOトラスト・ログインでは、以下のような多様なセキュリティ機能を低コストで提供しています。

  • ・多要素認証(MFA)
  • ・ワンタイムパスワード(OTP)
  • ・顔認証
  • ・アクセス制限
  • ・デバイス証明書

これらの機能は、SASE環境でも利用可能で、Cloudflareにログインする前に多要素認証を行うことで、ユーザー認証を強化し、より高いセキュリティレベルを実現します。

また、「ゼロトラスト」が注目されるようになった背景には、パブリッククラウドやSaaS利用の拡大があり、これに伴いアカウント管理が煩雑になるという課題も浮上してきました。このような「アカウントを一元管理したい」というニーズに応えるのがSSO機能です。GMOトラスト・ログインは、このSSO機能を標準で提供しており、さまざまなクラウドサービスへの安全かつ効率的なアクセス管理を実現します。

※なお、CloudflareはSSO機能を提供していません。

今回ご紹介したCloudflareとの連携に加え、その他のSASE製品やSaaSサービスを導入する際にも、GMOトラスト・ログインを組み合わせることで、クラウドサービスの導入価値を大幅に向上させることが可能です。

ぜひ、今回の設定手順を参考にしていただき、セキュリティと利便性の向上にお役立てください。

この記事を書いた人

画像2.jpg

GMOグローバルサイン株式会社
トラスト・ログイン事業部
カスタマーサクセス
鈴木孝崇(すずきたかむね)

SES企業にてサーバー運用保守、セキュリティ製品のテクニカルサポート、パブリッククラウドのプリセールスを経験。その後、ディストリビューター企業でゼロトラスト領域のソリューションSEおよびSASE製品のプロダクトリーダーを担当しました。
PMP、Prisma Certified Cloud Security Engineer、Splunk Power User、Google Professional Cloud Architectなど、20を超える資格を保有しています。
現在は、GMOグローバルサインにおいて、GMOトラスト・ログインのカスタマーサクセスに従事し、お客様の「顧客体験を最大化」することをミッションに、価値提供に努めています。

カテゴリー
記事一覧