本サービスは、GMOグローバルサイン株式会社のクラウドサービス「GMOトラスト・ログイン」を活用して提供しております。ヘルプページの内容は「GMOトラスト・ログイン」に基づいて記載しておりますので、「IT Expert Services ID管理」として読み替えてご利用ください。ご不明な点がございましたら、弊社サポートまでお問い合わせください。

項目	内容
事前確認	FortiGate にて事前の設定が必要です。最新の設定手順は、FortiGate からご提供されているマニュアルをご確認くださいますようお願いいたします。
ネームID	〇	メールアドレス
ネームID		カスタム属性　※ カスタム属性の設定方法はこちら
SP側の設定	〇	管理者様にて設定
SP側の設定		SPへ設定を依頼
プロビジョニング		APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)
		SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)
	〇	なし(各システムでアカウント作成)
アクセス方法	〇	SP-Initiated SSO
アクセス方法	ー	IdP-Initiated SSO
デバイス別動作検証状況	ー	PC - ブラウザ
	〇	PC - デスクトップアプリ
	ー	iOS - 標準ブラウザ (Safari)
	ー	iOS - トラスト・ログインモバイルアプリ内部ブラウザ
	〇	iOS - ネイティブアプリ (※)
	ー	Android - 標準ブラウザ (Chrome)
	ー	Android - トラスト・ログインモバイルアプリ内部ブラウザ
	※	Android - ネイティブアプリ ※未検証
SAML認証適用範囲	ー	全員有効(SAML認証のみとなる)
SAML認証適用範囲	〇	その他： Fortigate でSAML認証適用したトンネルに接続するユーザーのみ有効
備考	(※)トラスト・ログインのクライアント認証をご利用の場合は、iOSネイティブアプリでのSAML SSOができませんのでご注意ください。

目次：

事前準備

トラスト・ログインの管理ページの設定

FortiGate の設定

トラスト・ログインのユーザーの設定

FortiClient VPN利用方法（PC）

FortiClient VPN利用方法（iOS - ネイティブアプリ）

事前準備

Fortigate でSAML認証を受信するポートを設定します。
FortiGate の管理画面から右上の「>_」を押してCLIコンソールを開き、コマンドを実行します。
※お客様環境に合わせて設定をお願いします。詳細はこちらをご参照ください。

ここでは一例として、以下のコマンドを実行します。

config system global
set auth-ike-saml-port 9443
end

トラスト・ログインの管理ページの設定

トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
「企業アプリ登録」画面で検索し、「FortiGate (SAML) 」を選択します。
「IDプロバイダーの情報」の「IDプロバイダーURL」「発行者・エンティティID」を控えておき、「証明書を取得」から証明書をダウンロードします。
※ ダウンロードした証明書の拡張子を「.cert」に変換しておきます。
「サービスプロバイダーの設定」の空欄3箇所に接続対象となるIP（もしくはFQDN）とSAML認証で使用するポート（事前準備で設定したポート）を「[IP]:[ポート]」の形式で入力します。
「登録」ボタンで保存します。

FortiGate の設定

FortiGate にトラスト・ログインの証明書を登録します。
FortiGate の管理画面を開き、「システム > 証明書 > 作成/インポート > リモート」からトラスト・ログインからダウンロードした証明書をアップロードします。登録した証明書の「名前」を控えておいてください。
SAML認証を設定します。
「ユーザ＆認証 > シングルサインオン > 新規作成」を開きます。

以下の通り設定し「次へ」をクリックします。

名前	任意の名前
アドレス	接続対象となるIP（もしくはFQDN）とSAML認証で使用するポートを「[IP]:[ポート]」の形式で入力
証明書	トグルを有効にし「Fortinet_Factory」を選択

以下の通り設定し「サブミット」をクリックします。

タイプ	「カスタム」を選択
エンティティID	トラスト・ログインから取得した「発行者・エンティティID」
アサーションコンシューマサービスURL	トラスト・ログインから取得した「IDプロバイダーURL」
証明書	手順「1」で登録した証明書を選択
ユーザを識別するために使用される属性	username

SAML認証を利用するユーザグループを作成します。
「ユーザ＆認証 > ユーザグループ > 新規作成」を開きます。
以下の通り設定し「OK」をクリックします。

名前任意の名前

タイプ「ファイアウォール」を選択

リモートグループ「追加 > リモートサーバ」から、手順「4」で作成したSAML設定を選択

SAML認証で接続するIPsecVPNトンネルを設定します。
「VPN > IPsecウィザード」を開き、「①VPNセットアップ」を以下の通り設定し「次へ」をクリックします。

名前	任意の名前
テンプレートタイプ	リモートアクセス
リモートデバイスタイプ	お客様環境に応じて設定（ここでは「クライアントベース/FortiClient」を選択）

「②認証」を以下の通り設定し「次へ」をクリックします。

着信インターフェース	お客様環境に応じて設定（ここでは「WAN」を選択）
認証方式	「事前共有鍵」を選択
事前共有鍵	任意の値 ※Forticlient でのVPN接続時に使用するため、控えておいてください。
ユーザグループ	手順「6」で作成したユーザグループを選択

「③ポリシー&ルーティング」と「④クライアントオプション」設定をお客様環境に応じて設定して進み、「⑤設定の確認」で内容を確認し、「作成」をクリックします。
「VPN > IPsecトンネル」から、手順「7」〜「9」で作成したトンネルを選択し「編集」をクリックします。
「カスタムトンネルへコンバート」をクリックします。
「認証」の「IKE」でバージョン「2」を選択します。
「フェーズ1 プロポーザル」をお客様環境に応じて設定します。設定後に「Diffie-Hellmanグループ」の設定値を控えておいてください。
※VPNに接続する端末のFortiClient側設定を、ここで「Diffie-Hellmanグループ」に設定した値と一致させる必要があります。
「フェーズ2 セレクタ > 高度な設定」からお客様環境に応じて設定します。設定後に「Diffie-Hellmanグループ」の設定値を控えておいてください。
※VPNに接続する端末のFortiClient側設定を、ここで「Diffie-Hellmanグループ」に設定した値と一致させる必要があります。

設定後に「OK」をクリックします。

SAML認証を受け付けるインターフェースを設定します。
FortiGate のCLIコンソールを開き、以下の通りコマンドを実行します。

config vpn ipsec phase1-interface
  edit "TrustloginVPN"　　←※手順「14」で作成したトンネル名
   set ike-version 2
   set eap enable
   set eap-identity send-request
   set authusrgrp "VPN_SAML_Group"　　←※手順「6」で作成したユーザグループ名
  next
end

SAML認証を受け付けるインターフェースと、使用するシングルサインオン設定を紐づけます。
FortiGate のCLIコンソールを開き、以下の通りコマンドを実行します。

config system interface
  edit "wan"　　←※手順「8」で設定した着信インターフェース
    set ike-saml-server "Trustlogin"　　←※手順「4」で作成したシングルサインオン設定名
  next
end

以上でFortigate 側の設定は完了です。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

※事前に管理者でSAMLアプリを設定している必要があります。

「マイページ」で「アプリ追加」ボタンを押します。
「アプリ登録」画面で「FortiGate (SAML) 」を選択し、画面右上の「次へ」ボタンを押します。
「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

「管理ページ > アプリ」メニューで「FortiGate (SAML) 」アプリを検索しクリックします。
「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

FortiClient VPN利用方法（PC）

FortiClient VPNを開き、「新規接続の追加」からVPN接続を以下の通り設定します。

接続名	任意の名称
リモートGW	接続対象となるIP
認証方法	「事前共有鍵」を選択 /「FortiGate の設定」の手順「8」で設定した事前共有鍵の値
Single Sign On Setting	「VPNトンネルのシングルサインイン（SSO）を有効化」にチェック
ポートの編集	「事前準備」で設定したSAML認証に使用するポート
SAMLユーザ認証のユーザエージェントとして外部ブラウザを使用する	チェックを入れる

「詳細設定」を開き、以下の通り設定し「保存」をクリックします。

詳細設定 > VPN設定
IKE	バージョン2
Address Assingnment	モードコンフィグ
Encapsulation	IKE UDP Port（Port：500）
詳細設定 > フェーズ1
DHグループ	「FortiGate の設定」の手順「13」で設定した「Diffie-Hellmanグループ」と同じ値
詳細設定 > フェーズ2
DHグループ	「FortiGate の設定」の手順「14」で設定した「Diffie-Hellmanグループ」と同じ値

「接続」をクリックすると、ブラウザが開きトラストログインの認証が求められます。
トラスト・ログイン側でログイン後、FortiClient VPNのSAML認証が始まり、成功するとFortiClient VPNの接続が確立します。

FortiClient VPN利用方法（iOS - ネイティブアプリ）

FortiClient VPNを開き、「Select connection > Add Configuration」をタップします。

以下の通り設定し、「Save」をタップします。

VPN ACCOUNT INFORMATION
Secure Protocol	IKEv2 VPN
Name	任意の名称
Server Address	接続対象となるIP
SSO	トグルをON
Port	「事前準備」で設定したSAML認証に使用するポート
ADVANCED SETTINGS
Authentication Method	Pre-shared key
Pre-shared Key Secret	「FortiGate の設定」の手順「8」で設定した事前共有鍵の値
EAP-Auth	トグルをON
PHASE 1
DH Group	「FortiGate の設定」の手順「13」で設定した「Diffie-Hellmanグループ」と同じ値
PHASE 2
DH Group	「FortiGate の設定」の手順「14」で設定した「Diffie-Hellmanグループ」と同じ値

「USER VPN GATEWAY」から、作成したVPN設定をタップしてチェックを付けます。
「VPN」をタップして最初の画面に戻り、「Connect」のトグルをONにします。
トラストログインのログイン画面に遷移します。
トラスト・ログイン側でログイン後、FortiClient VPNのSAML認証が始まり、成功するとFortiClient VPNの接続が確立します。

名前	任意の名前
タイプ	「ファイアウォール」を選択
リモートグループ	「追加 > リモートサーバ」から、手順「4」で作成したSAML設定を選択

お電話でのお問い合わせ ※ご検討中のお客様は右記メールよりお問い合わせ下さい。	0120-837-871 (受付：平日9時から17時30分)	メールでのお問い合わせ