署名されたAuthNリクエスト (SAML)

SAMLリクエストフローにおいて、Cloudflare Accessはアイデンティティプロバイダー (IdP) に対するサービスプロバイダー (SP) として機能します。Cloudflare Accessは、あなたのIdPにSAMLリクエストを送信します。あなたがSAMLプロバイダーからアップロードした署名証明書が、レスポンスを検証します。

場合によっては、管理者がSPからのリクエストが正当であることを確認する必要があります。SPからのリクエストとIdPからのレスポンスの両方を検証することで、チームはSAML関係における操作が双方向で署名されていることを確認できます。

Cloudflare Accessは、署名されたAuthNリクエストの形でこの要件をサポートしています。有効にすると、AccessはAuthNの詳細を含むHTTP POSTリクエストに埋め込まれた署名を送信します。

署名されたAuthNリクエストの設定

署名されたAuthNリクエストを設定するには：

Zero Trustで、Settings > Authenticationに移動します。
Login methodsの下で、Add newを選択します。
次のページでSAMLを選択します。
ダイアログのフィールドを入力します。
このURLにアクセスして証明書を見つけます：
```
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/public-cert
```
IdPの検証が最新の証明書を使用していることを確認してください。Cloudflare Accessは、セキュリティ対策として定期的に公開鍵をローテーションします。

Cloudflare Accessは、以下の2つの識別名フィールドを含む証明書を使用します：
- Issuer Distinguished Name – CN=cloudflareaccess.com, C=US, ST=Texas, L=Austin, O=Cloudflare
- Subject Distinguished Name – CN=*.cloudflareaccess.com, C=US, ST=Texas, L=Austin, O=Cloudflare
ほとんどのIdP構成では、AuthN署名検証を強制するために3つのコンポーネントが必要です：
- 証明書発行者 distinguished name (DN) ↗
- 証明書の主題識別名
- 公開証明書
IdPアカウントで、Cloudflare Accessによって生成されたteam domainで認証ドメインを置き換えます。

これは例の形式です：
```
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/public-cert
```

Cloudflare Dashboard Discord Community Learning Center Support Portal

Cookie Settings