Netskope管理コンソールSSO~Okta編~

はじめに

Netskopeのテナントを作成した際にまず何をしたら良いかわからないという話をよく聞きます。 Netskopeテナントが来たら、まずここを確認しようという設定についてまとめています。今回は、管理コンソールへのSSO設定~Okta編~について記載します。

なお、本設定はあくまで参考であるため、実際に設定する際は、自社のポリシー、要件にそって設定する必要があるかと存じます。

Netskope初期設定の大まかな流れと本ブログの立ち位置

設定作業の全体像は以下の通りです。今回のブログは「管理コンソールへのSSO設定~Okta編」について記載しています。

• 管理コンソール初期設定
• 管理コンソールへのSSO設定　
  • 管理者SSO~Entra ID(Azure AD)編~
  • 管理者SSO~Okta編~　←今日のブログはここ！
• ユーザープロビジョニング
  • ユーザープロビジョニング~Entra ID(Azure AD)~
  • ユーザープロビジョニング~Okta~
• Netskope Client 配布
  • Client配布~Intune windows~
  • Client配布~Jamf macOS~
  • Client配布~Email Invite iOS~
  • Client配布~Jamf iOS~
  • Client配布~Intune iOS~
• ポリシー設定
  • ポリシー設定~Real time Protection~
  • API 連携~ Google Drive~
  • API連携~ Box~
  • API連携 ~ Gmail~
  • ポリシー設定 ~API Introspection~
  • ポリシー設定 ~ DLP~
• NPA
  • NPA~ Publisher構成 AWS~
  • NPA ~ アプリ登録、ポリシー設定~
  • NPA ~ Publisher自動更新~
  • NPA ~ Prelogon検証~

参考URL

本手順は、下記公式のドキュメントを参考に設定を行います。

• Netskope公式ドキュメント

事前準備

• Okta側での作業が発生するため下記Roleを付与した作業用ユーザを用意しておくこと
  • Super Admin
• SSOの動作確認を行うためにOkta上にユーザを事前に作成しておくこと

設定手順

SSOしたいユーザーの作成

• Netskopeでは、管理者ユーザーのIDPからのプロビジョニングはサポートしていないため、管理コンソールにて管理者ユーザーを作成する必要があります。
• Netskope 管理コンソール > Settings > Administration > Admins にて、[NEW ADMIN]をクリックします。

• New Adminにて下記を入力して、[SAVE]をクリックし、設定を保存します。
  • EMAL
    • Entra ID上で作成したユーザーと同一のメールアドレスを入力Netskope管理画面から必要情報の取得
  • ROLE
    • 管理者の権限を設定
    • 全ての権限を付与したい場合は、Tenant Adminを指定

• 指定したメールアドレス向けにメールが送付され、記載のアカウント&パスワードでログインします。
  • すでにSSOの構成をしている場合、テナントURLに「/locallogin」を追加すると、SSOを回避してのログインが可能です。

Netskope管理画面から必要情報の取得

• Netskope管理コンソールにログインして、[Settings] > [Administration] > [SSO]の順に遷移します。
• 下記情報をメモしておきます。
  • Service Provider Entity Id

Okta アプリケーションの追加

• Oktaの管理コンソールにアクセスし、[Applications] > [Browse App Catalog]の順に遷移します。
• 検索窓に、[Netskope]と入力して、表示される[Netskope Admin Console]をクリックします。

• [Add Integration]をクリックして、アプリケーションの追加を行います。

• Subdomainに、自社テナントのサブドメインを入力し、[Next]をクリックします。
  • 「https://test.goskope.com/」の場合は、「test」と入力

• Sign-On Options· Requiredにて、下部にあるAdvanced Sign-on Settingsまでスクロールします。
• Service Provider Entity Idに、事前にメモしておいた、[Service Provider Entity Id]を入力し、[Done]をクリックします。

• Applications > Netskope Admin Consoleの順に遷移して、SAML Setupの[View SAML setup instructions]をクリックします。
• [⑤In the SSO/SLO Settings section click EDIT SETTINGS, then follow the steps below:]に表示される下記をメモします。
  • IDP URL
  • IDP ENTITY ID
  • IDP CERTIFICATE

ユーザーアサイン

• Applications > Netskope Admin Console > Assignmentsの順に遷移し、[Assign] > [Assign to People]の順にクリックします。
• SSOさせたいユーザーを確認して、[Assign]をクリックします。
• Assign Netskope Admin Console to Peopleにて、[Save and Go Back]をクリックします。

Netskope SSO設定

• Netskope管理コンソールにログインします。
• Settings > Administration > SSOの順に遷移します。
• SSO/SLO Settingsの[EDIT SETTINGS]をクリックします。

• Settingsにて、下記の通り設定して、[SUBMIT]をクリックします。
  • Enable SSO
    • チェックをいれる
  • Sign SSO Authentication Request
    • チェックをいれる
  • IDP URL
    • 事前にメモしておいた、IDP URLを入力
  • IDP ENTITY ID
    • 事前にメモしておいた、IDP ENTITY IDを入力
  • IDP CERTIFICATE
    • 事前にメモしておいた、IDP CERTIFICATEを入力

動作確認

• SSOを構成したユーザーにて、Netskope管理コンソールへアクセスする。
• 問題なくログインできれば完了です。

次のステップ

本手順が終わったら次は、「ユーザープロビジョニング」を実施してください。

• 管理コンソール初期設定
• 管理コンソールへのSSO設定(必須ではない)
  • 管理者SSO~Entra ID(Azure AD)編~
  • 管理者SSO~Okta~ ←今日のブログはここ！
• ユーザープロビジョニング ← 次はここ！
  • ユーザープロビジョニング~Azure AD編~
  • ユーザープロビジョニング~Okta編~
• Netskope Client 配布
  • Client配布~Intune windows~
  • Client配布~Jamf macOS~
  • Client配布~Email Invite iOS~
  • Client配布~Jamf iOS~
  • Client配布~Intune iOS~
• ポリシー設定
  • ポリシー設定~Real time Protection~
  • API 連携~ Google Drive~
  • API連携~ Box~
  • API連携 ~ Gmail~
  • ポリシー設定 ~API Introspection~
  • ポリシー設定 ~ DLP~
• NPA
  • NPA~ Publisher構成 AWS~
  • NPA ~ アプリ登録、ポリシー設定~
  • NPA ~ Publisher自動更新~
  • NPA ~ Prelogon検証~

終わりに

今回は、Netskope管理コンソールへのSSO設定~Entra ID編)についてまとめました。 Netskopeの設定についてシリーズでブログを書いていきます。 次回は、ユーザープロビジョニング~Okta編~です。それではまた。