CloudflareのZero TrustのIdPに[Google]認証を利用する為には下記の事前準備が必要です。
②管理者のGmailアドレスに[クライアントID]と[クライアントシークレット]を設定する
上記が完了したのちに下記を設定します。
1.Zero TrustのIdPに[Google認証]を設定する
1.Zero TrustのIdPに[Google認証]を設定する
1.認証メニュを起動します。
[Settings]に表示される[Authentication]をクリックします。
2.不要な認証システムの削除
表示された画面の中の[Login methods]欄にデフォルトの[one-time PIN]が設定されているので[Edit]で開いて削除して下さい。
メモ
One-time PINは指定したメールアドレスに認証コードを送り、このコードで使ってZero Trust空間に入る方法ですが、ここではGoogle認証を利用するので不要になります。
3.IdPにGoogleを選択する
[Login methods]欄の中にある[Add new]ボタンを挿入します。
下記画面が表示されますので[Google]をクリックします。
Google認証の設定画面が表示されます。
下記の項目を設定し[Save]ボタンを挿入します。
■Name:Google ※任意名称なので変更できます。認証画面に表示されます。
■App ID:[クライアントID]で作成した[クライアントID]をペーストします。
■Client secret:[クライアントシークレット]で作成した[クライアントシークレット]をペーストします。
■PKCE:ONにします。
以上で下記画面が表示され、ゼロトラストの認証にGoogleが利用できる様になりました。
■Googleの後ろにあるTestをクリックするとGoogleのアカウント選択画面が表示されます。
2.Zero Trustの利用者を限定する
上記で利用可能にした[Google認証]は、指定したGmailアドレスがGoogleの正しいGmailユーザか否かを判断しただけです。
そこでGmailユーザの誰にZero Trustの利用権限を与えるかの設定が必要になります。
Google認証で取り込まるれ情報
Google認証はCloudflareに下記の情報が取り込まれます。
・User name:Gmailの姓名が取り込まれます。
・Email address:Gmailアドレスが取り込まれます。
よってGmailユーザの誰にどの様な権限を与えるかはEmail Address Listを作成し、このリストの中に許可するGmailアドレスを登録する事により実現します。
1.Emailリストの作成方法
下記のEmailリストにアクセスを許可するGmailアドレスを登録します。
①[My Team→Lists]を実行します。
②表示された画面から[Create manual list]を実行します。
③各種ユーザリストを作成します。
ここに[1.システム管理者][2.社員]、[3.派遣社員]等のユーザリストを作成します。
メモ
リストには上記以外に[許可ドメインリスト]や[ブロックドメインリスト]等の他のリストも作成されます。
またリストは名前順にソートされるため、ユーザ管理の為のリストがバラバラに表示されると管理が難しくなります。
そこでユーザ管理リストは1.XXXXの様にリスト名の前に番号を付ける事によりユーザ管理をやり易くします。
ここでは[2.社員]というEmailリストを作成してみます。
■List Name:2.社員
■List Type:▼から[User Emails]を選択します。
■メールアドレスの追加
①で社員のメールアドレス、②で追加を繰り返します。
尚、[Description]に姓名も入力しておくとリストが見易くなります。
最後に画面の右下にある[Save]ボタンを挿入します。
以上で社員名簿が作成できました。
同様に他のリストも作成します。
メモ
上記で各種の[Email address List]を作成したので、これを使ったアクセス制御ができます。
しかし上記だけでは[User Email][in list][2.社員]or[User Email][in list][1.システム管理者]を許可するという複雑な定義が必要になります。
これを簡単にするのが下記の[アクセスグループ]で、これを利用すると[社員]と[管理者]に✓を付けるだけで良くなります。
2.アクセスグループを作成する
①[Accsess→Accsess Groups]を実行します。
②表示された画面から[+ Add a Group]を実行します。
③ここにユーザリストと同じ名前のグループを作成します。
下記事例では[社員]グループを設定します。
[Add a group]の設定
■Group name:ユーザリストと同じ名称を入力して下さい。
[Define group criteria]の設定
下記でその条件を設定します。
■Selector欄:▼から[Email List]を選択します。
■Value欄:▼からEmailリストを選択します。例)2.社員
■画面の右下にある[Save]ボタンを挿入します。
以上で社員グループが作成できました.
同様に他のグループも作成します。
以上でGoogle認証で特定のGmailユーザにZero Trustにアクセスさせる準備は整いました。
3.Zero Trustの認証画面をカスタマイズする
ここではGoogle認証画面のカスタマイズ方法を解説します。
認証画面のカスタマイズは[Settings]に表示される[Custom Pages]をクリックします。
[Login page]欄の[Customize]ボタンを挿入してカスタマイズします。
■変更できる所は下記になります。
・背景色
・Your Organization’s name
アプリケーション名の上の文字列です。デフォルトでセキュリティ空間名が設定されていますが変更する事ができます。
・Logo URL:ロゴ画像を表示する場合はURLを指定します。
・Header text:アプリケーション名の下の文字列
・Message:Google認証の下の文字列
※上図のアプリケーション名の所は[Access]の[Applications]で設定した名前が表示されます。
尚、上記の使い方は[Google認証で理解しておく事]を参照して下さい。