Check Point Harmony Connect -Internet Access-のアプリ連携

シングルサインオン

PIO-IDのアプリ連携設定

PIO-ID 管理者ポータル＞アプリ連携＞アプリ一覧画面へ移動します。
カタログ表示ボタンをクリックします。
アプリカタログが表示されるので、Harmony Connectの登録ボタンをクリックします。
アプリ登録画面がポップアップします。情報タブの名前に、アプリを識別できるような名前を、半角小文字の英数字、-（ハイフン）、_（アンダースコア）で設定します。
シングルサインオンタブに移動します。
SSO 有効/無効を有効に設定します。
IdP エンドポイントメタデータのダウンロードボタンをクリックし、メタデータを取得します。このメタデータは、Harmony Connectの設定を行うときに必要となります。
登録ボタンをクリックして、アプリを登録します。

Harmony ConnectのSAML認証設定

Harmony Connectの管理者ポータルへ管理者権限を持つユーザでログインします。
画面左のSETTINGSアイコンをクリックし、設定画面へ移動します。
サイドメニューのIdentity Providerをクリックして、Identitiy Provider画面へ移動します。
CONNECT NOWボタンをクリックします。
Generic SAML Providerを選択し、NEXTボタンをクリックします。
認証するユーザのメールドメインを管理する公開DNSサーバに、Valueに表示されている値で、TXTレコードを登録します。そして、そのメールドメインをDomainに登録し、NEXTをクリックします。

Warning

DNSでTXTレコードの確認ができるようになるまで、Domainにメールドメインの登録はできません。公開DNSサーバでTXTレコードのTTLが長く設定されていると、Domainへ登録可能となるまでにしばらく待つことになります。
SELECT FILEボタンをクリックして、PIO-IDのIdPエンドポイントメタデータのファイルを選択します。
メタデータが読み込まれ、Service URLが表示されます。NEXTボタンをクリックします。
NEXTボタンをクリックします。
OKボタンをクリックします。

Info

ユーザをアプリに登録していないので、ここでは、Identity Providerの接続テストを実施できません。設定が完了し、ユーザをアプリに登録してから接続テストを行います。
ADD IDENTITIY PROVIDERボタンをクリックします。
設定が完了したことを確認します。

プロビジョニング

Harmony Connectクライアントから認証するメールアドレスをアクティベーションしたときに、Harmony Connectに自動的にユーザが作成されます。

ポリシー定義するためのユーザおよびグループのオブジェクトは自動で作成されないため、Harmony Connectの管理者ポータルから登録する必要があります。

アプリにユーザ追加

PIO-ID 管理者ポータル＞アプリ連携＞アプリ一覧画面へ移動します。
登録したアプリの列にあるチェックボックスを選択します。
ユーザ追加ボタンをクリックします。
ユーザ追加画面がポップアップします。アプリへ追加したいユーザ名を選択し、登録ボタンをクリックして、アプリへユーザを追加します。

動作確認

Harmony Connectの管理者ポータルへ管理者権限を持つユーザでログインします。
画面左のSETTINGSアイコンをクリックし、設定画面へ移動します。
サイドメニューのIdentity Providerをクリックして、Identitiy Provider画面へ移動します。
Test Connectivityボタンをクリックし、CONNECTIVITY TEST画面を表示します。
RUN TESTボタンをクリックします。新しいブラウザのウィンドウがポッポアップします。
PIO-IDのログイン画面が表示されるので、アプリに追加したユーザでログインします。
Connectivity Test Passedとなった場合には、Harmony ConnectのIdentity Providerの接続が正常に行われています。

Info

Groups have been resolved properly from your Identity Providerがとならない場合には、ユーザがグループに属していない事が考えられます。PIO-IDのユーザがグループに属していることを確認してください。