HOME  /ZeroTrust
 /Cloudflare ZeroTrustのIdPにGoogle認証を利用する方法
2024年08月25日

Cloudflare ZeroTrustのIdPにGoogle認証を利用する方法


CloudflareのZero TrustのIdPに[Google]認証を利用する為には下記の事前準備が必要です。

企業用のGmailアドレスを取得する

管理者のGmailアドレスに[クライアントID]と[クライアントシークレット]を設定する

 

上記が完了したのちに下記を設定します。

1.Zero TrustのIdPに[Google認証]を設定する

2.Zero Trustの利用者を限定する

3.Zero Trustの認証画面をカスタマイズする

1.Zero TrustのIdPに[Google認証]を設定する

1.認証メニュを起動します。

[Settings]に表示される[Authentication]をクリックします。

 

2.不要な認証システムの削除

表示された画面の中の[Login methods]欄にデフォルトの[one-time PIN]が設定されているので[Edit]で開いて削除して下さい。

­ ­メモ

One-time PINは指定したメールアドレスに認証コードを送り、このコードで使ってZero Trust空間に入る方法ですが、ここではGoogle認証を利用するので不要になります。

 

3.IdPにGoogleを選択する

[Login methods]欄の中にある[Add new]ボタンを挿入します。

下記画面が表示されますので[Google]をクリックします。

 

Google認証の設定画面が表示されます。

下記の項目を設定し[Save]ボタンを挿入します。

Name:Google ※任意名称なので変更できます。認証画面に表示されます。

App ID:[クライアントID]で作成した[クライアントID]をペーストします。

Client secret:[クライアントシークレット]で作成した[クライアントシークレット]をペーストします。

PKCE:ONにします。

以上で下記画面が表示され、ゼロトラストの認証にGoogleが利用できる様になりました。

■Googleの後ろにあるTestをクリックするとGoogleのアカウント選択画面が表示されます。

 

2.Zero Trustの利用者を限定する

上記で利用可能にした[Google認証]は、指定したGmailアドレスがGoogleの正しいGmailユーザか否かを判断しただけです。

そこでGmailユーザの誰にZero Trustの利用権限を与えるかの設定が必要になります。

­ ­Google認証で取り込まるれ情報

Google認証はCloudflareに下記の情報が取り込まれます。

User name:Gmailの姓名が取り込まれます。

Email address:Gmailアドレスが取り込まれます。

よってGmailユーザの誰にどの様な権限を与えるかはEmail Address Listを作成し、このリストの中に許可するGmailアドレスを登録する事により実現します。

 

1.Emailリストの作成方法

下記のEmailリストにアクセスを許可するGmailアドレスを登録します。

①[My TeamLists]を実行します。

 

②表示された画面から[Create manual list]を実行します。

 

③各種ユーザリストを作成します。

ここに[1.システム管理者][2.社員]、[3.派遣社員]等のユーザリストを作成します。

­ ­メモ

リストには上記以外に[許可ドメインリスト]や[ブロックドメインリスト]等の他のリストも作成されます。

またリストは名前順にソートされるため、ユーザ管理の為のリストがバラバラに表示されると管理が難しくなります。

そこでユーザ管理リストは1.XXXXの様にリスト名の前に番号を付ける事によりユーザ管理をやり易くします。

ここでは[2.社員]というEmailリストを作成してみます。

■List Name:2.社員

■List Type:▼から[User Emails]を選択します。

メールアドレスの追加

①で社員のメールアドレス、②で追加を繰り返します。

尚、[Description]に姓名も入力しておくとリストが見易くなります。

最後に画面の右下にある[Save]ボタンを挿入します。

以上で社員名簿が作成できました。

同様に他のリストも作成します。

­ ­メモ

上記で各種の[Email address List]を作成したので、これを使ったアクセス制御ができます。

しかし上記だけでは[User Email][in list][2.社員]or[User Email][in list][1.システム管理者]を許可するという複雑な定義が必要になります。

これを簡単にするのが下記の[アクセスグループ]で、これを利用すると[社員]と[管理者]に✓を付けるだけで良くなります。

 

2.アクセスグループを作成する

①[AccsessAccsess Groups]を実行します。

 

②表示された画面から[+ Add a Group]を実行します。

 

③ここにユーザリストと同じ名前のグループを作成します。

下記事例では[社員]グループを設定します。

[Add a group]の設定

■Group name:ユーザリストと同じ名称を入力して下さい。

 

[Define group criteria]の設定

下記でその条件を設定します。

■Selector欄:▼から[Email List]を選択します。

■Value欄:▼からEmailリストを選択します。例)2.社員

■画面の右下にある[Save]ボタンを挿入します。

以上で社員グループが作成できました.

同様に他のグループも作成します。

以上でGoogle認証で特定のGmailユーザにZero Trustにアクセスさせる準備は整いました。

 

3.Zero Trustの認証画面をカスタマイズする

ここではGoogle認証画面のカスタマイズ方法を解説します。

認証画面のカスタマイズは[Settings]に表示される[Custom Pages]をクリックします。

 

[Login page]欄の[Customize]ボタンを挿入してカスタマイズします。

■変更できる所は下記になります。

背景色

Your Organization’s name

アプリケーション名の上の文字列です。デフォルトでセキュリティ空間名が設定されていますが変更する事ができます。

Logo URL:ロゴ画像を表示する場合はURLを指定します。

Header text:アプリケーション名の下の文字列

Message:Google認証の下の文字列

※上図のアプリケーション名の所は[Access]の[Applications]で設定した名前が表示されます。

 

尚、上記の使い方は[Google認証で理解しておく事]を参照して下さい。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。