一般的なSAMLアプリケーション

このページでは、SAML認証プロトコルを使用してCloudflare AccessにSaaSアプリケーションを設定するための一般的な手順を提供します。

前提条件

• Cloudflare Zero Trustに設定されたアイデンティティプロバイダー
• SaaSアプリケーションのアカウントへの管理者アクセス

1. SaaSアプリケーションのURLを取得

SaaSアプリケーションアカウントから以下のURLを取得します：

• Entity ID: SaaSアプリケーションに発行された一意のURL、例えば https://<your-domain>.my.salesforce.com。
• Assertion Consumer Service URL: SAMLアサーションを受信して解析するためのサービスプロバイダーのエンドポイント。

2. アプリケーションをAccessに追加

1. Zero Trust ↗に移動し、Access > Applicationsを選択します。

2. Add an applicationを選択します。

3. SaaSを選択します。

4. ドロップダウンメニューからApplicationを選択します。アプリケーションがリストにない場合は、Applicationフィールドにカスタム名を入力し、下に表示されるテキストボックスを選択します。

5. SAMLを選択します。

6. Add applicationを選択します。

7. SaaSアプリケーションアカウントから取得したEntity IDとAssertion Consumer Service URLを入力します。

8. SaaSアプリケーションが期待するName ID Formatを選択します（通常は_Email_）。

9. SSO endpoint、Access Entity ID or Issuer、およびPublic keyをコピーします。

10. SaaSアプリケーションが追加のSAML属性ステートメントを必要とする場合は、SaaSアプリケーションに送信されるSAMLステートメントに含めたいIdPの属性のマッピングを追加します。

IdPグループ

Okta、AzureAD、Google Workspace、またはGitHubをIdPとして使用している場合、Accessは自動的にユーザーの関連グループを属性値として持つgroupsというSAML属性を送信します。

11. （オプション）アプリケーションのApp Launcher設定を構成します。

12. Under Block pages, choose what end users will see when they are denied access to the application:

    • Cloudflare default: Reload the login page and display a block message below the Cloudflare Access logo. The default message is That account does not have access, or you can enter a custom message.
    • Redirect URL: Redirect to the specified website.
    • Custom page template: Display a custom block page hosted in Zero Trust.

13. Next, configure how users will authenticate:

    1. Select the Identity providers you want to enable for your application.

    2. (Recommended) If you plan to only allow access via a single IdP, turn on Instant Auth. End users will not be shown the Cloudflare Access login page. Instead, Cloudflare will redirect users directly to your SSO login event.

    3. (Optional) Under WARP authentication identity, allow users to authenticate to the application using their WARP session identity.

14. Save configurationを選択します。

2. Accessポリシーを追加

1. 誰がSaaSアプリケーションにアクセスできるかを制御するために、Accessポリシーを作成します。

2. Doneを選択します。

3. SaaSアプリケーションでSSOを構成

次に、SaaSアプリケーションを構成して、ユーザーがCloudflare Accessを通じてログインすることを要求します。サードパーティのSAML SSOプロバイダーを構成する方法については、SaaSアプリケーションのドキュメントを参照してください。Zero Trustダッシュボードから以下の値が必要です：

• SSO endpoint
• Access Entity ID or Issuer
• Public key

このデータを手動でSaaSアプリケーションに入力するか、メタデータXMLファイルをアップロードできます。メタデータは次のURLで入手できます：<SSO endpoint>/saml-metadata。

SAMLレスポンスの検証

SAMLアイデンティティプロバイダーとして機能する際、CloudflareはSAMLレスポンスとSAMLアサーションの両方にSHA-256アルゴリズムを使用して署名します。SaaSアプリケーションは、SaaSアプリケーションにアップロードしたPublic keyを使用してこの署名を検証できます。

4. 統合をテスト

シークレットブラウザウィンドウを開き、SaaSアプリケーションのログインURLに移動します。Cloudflare Accessのログイン画面にリダイレクトされ、アイデンティティプロバイダーでサインインするように求められます。