~FortiGate 技術ブログ~
IPSec-VPN設定方法【SAML編】1 / 4
FortiOS v7.6.3以降、SSL-VPN機能の廃止がFortinet社より発表されました。(一部Gシリーズモデルでは、v7.0/v7.2/v7.4も含まれています。) 弊社にお問い合わせいただくお客様の中でもSSL-VPN機能を利用している方は多く、この発表に戸惑っている方も多いのではないでしょうか。
SSL VPN support on FortiGate models - Fortinet Community
今回はSSL-VPNの代替手段であるIPSec-VPNへの移行と、Microsoft Entra IDを利用したSAML認証の設定例をご紹介します。既存でSSL-VPNやSAML認証をご利用中の方はもちろん、これから新規導入をされている方にも参考になれば幸いです。
シングルサインオンとSAML認証について
シングルサインオンとは、一度、ユーザ認証(IDとパスワードの入力等)を行うだけで、複数のwebサービスやシステムにログインができる仕組みです。シングルサインオンの実装方式の一つにSAML認証があります。SAML認証は以下のような流れで認証を行います。
今回の設定では、「SP」がFortiGate、「IdP」がMicrosoft Entra IDとなります。なお、FortiGateのSSL-VPNを利用されていた方で、SAML認証を使用しているか確認する場合、以下の画面で確認可能です。
IPSec-VPNとSAML認証を実装する際の前提条件
実装する際の条件は下記です。
| 製品 | OSバージョン | VPN接続時のIKEバージョン |
|---|---|---|
| FortiGate | v7.2.4以降 | IKEバージョン2 |
| FortiClient(無償版/有償版) |
【IKEバージョン2の補足情報】
SAML認証を実装する際はIKEバージョン2のみサポートしています。
IKEバージョン2では、同一の物理(WAN)インターフェイス上に複数のダイヤルアップIPSec-VPNトンネルを構成する場合、各トンネルを識別するために「ネットワークID」の設定が推奨されます。ただし、このネットワークIDを設定するためには、FortiClient EMS(有償版)が必要です。
そのため、FortiClient無償版でIKEバージョン2を設定する場合、1つのダイヤルアップIPSec-VPNトンネルのみが利用可能です。
(無償版と有償版の違いはFORTINET社のサイトより確認できます。)
IPSec-VPNとSAML認証の設定をしてみよう
早速設定例を紹介します。下記に沿って設定を実施していきます。
- ネットワーク環境と構成
- SAMLの設定
- IPSec-VPNの設定
- FortiClientの設定とIPSec-VPN接続確認
1. ネットワーク環境と構成
今回は下記の環境と構成で設定をします。
- FortiGate : v7.4.8
- FortiClient VPN(無償版/Windows) : v7.4.3
著者
関連製品
-
FortiGate/FortiGateCloud強固なセキュリティ機能を一台で提供する統合脅威管理(UTM)アプライアンスです。- Cloud / SaaS
- Network Security
- OT Security