対象
- Access Control と FortiGate をシングルサインオン(SSO)連携してご利用中のお客様
- FortiGate との SSO 連携をご検討中のお客様
内容
FortiGate(FortiOS)の仕様変更により、Access Control との SSO が正常に行えない事象を確認しております。
・該当バージョン
バージョン 7.2系 : 7.2.12 以降
バージョン 7.4系 : 7.4.9 以降
バージョン 7.6系 : 7.6.4
2026 年 3 月 5 日(木)追記: バージョン 7.4.10 以降にて、署名検証設定の変更が可能になりました。
詳細は FortiGate(FortiOS)における署名検証の設定変更 をご参照ください。
2025 年 12 月 16 日(火)追記:バージョン 7.6.5 にて、署名検証設定の変更が可能になりました。
詳細は FortiGate(FortiOS)における署名検証の設定変更 をご参照ください。
この仕様変更により、IDプロバイダー(IdP)は SAML 応答(レスポンス)の「アサーション」と「レスポンス」両方に署名を行う必要があります。
現在 Access Control の SAML SSO では「アサーション」と「レスポンス」のいずれかに署名を行う方式のみをサポートしており、両方に署名する方式はサポートしておりません。
FortiGateの仕様変更概要
- https://docs.fortinet.com/document/fortigate/7.2.12/fortios-release-notes/684249/saml-certificate-verification(外部リンク)
- https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-SAML-Authentication-fails-after-firmware/ta-p/407859(外部リンク)
FortiGate(FortiOS)における署名検証の設定変更
バージョン 7.6.5 および 7.4.10以降では、署名検証の設定が変更できることを確認しております。
下記のマニュアルから「Response and assertion signing」の手順を実行し、[require-signed-resp-and-asrt]を[disable]に変更してください。
・バージョン 7.6.5
https://docs.fortinet.com/document/fortigate/7.6.5/administration-guide/736845/saml(外部リンク)
・バージョン 7.4.10
https://docs.fortinet.com/document/fortigate/7.4.10/administration-guide/736845/saml(外部リンク)
※設定方法の詳細については Fortinet 社にご確認ください。
その他のバージョンの対応について
バージョン 7.2系 における対応については、次期バージョン 7.2.14 で対応されるとの情報がございますが、詳細についてはお手数をおかけしますが、必要に応じてFortinet 社にご確認いただけますようお願いいたします。