SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

FortiGate SSL-VPN+SAMLからIPsec+SAMLへの移行手順

  1. ホーム
  2. 技術ブログ
  3. Fortinet
  4. FortiGate SSL-VPN+SAMLからIPsec+SAMLへの移行手順
Fortinet
    2025.09.30

    4.jpg

    FortiGateのSSL-VPN機能が廃止されることはご存じですか?
    これまでFortiGateのSSL-VPNを利用してきた方にとって機能削除はこの先の利用や対策に対して
    不安があると思います。
    ですが、IPsecへ移行していただくことで今までと同じように快適にリモートアクセスを続ける
    ことができます。
    ここではEntra IDを使った認証とFortiClientを利用する流れを説明します。

    1. 移行の全体像

    1. FortiOSを7.6.2 にアップグレード(SSL-VPNIPsecを一時的に併用可能)
    2. Entra IDにIPsec用のエンタープライズアプリケーションを作成
    3. FortiGateにIPsec用のシングルサインオン(SSO)設定を追加
    4. 新しくIPsec VPNを設定(IKEv2 + Entra IDのSAML認証を利用)
    5. FortiGateのSAML用ポート番号と外部インターフェースのSAML設定
    6. 利用者にFortiClient 7.3.4以降を配布し、接続テストを実施
    7. 切替完了後にバックアップを取得し、FortiOSを最新バージョンへアップグレード
    8. SSL-VPNを停止し、IPsecへ一本化

    2. Entra IDエンタープライズアプリケーションの作成

    SSL-VPN用のエンタープライズアプリケーションとは別にIPsec用に新しくエンタープライズ
    アプリケーションを作成します。 

    3. FortiGateのSSO設定

    FortiGateでも、IPsec専用のシングルサインオン(SSO)設定のグループを作成します。
    SSL-VPN用と混在させずに分けておくのがおすすめです。以下は注意点です。 

    entity-id: https://<FortiGateのFQDN>:<ポート番号> /remote/saml/metadata/

    FortiGate GUIからユーザ認証のシングルサインオングループを作成するとentry-idが"http"になります。
    一方EntraID側はhttpsの為に不一致が起こります。
    上記のようにFortiGate側のentity-idを"https"に修正します。

    作成したSSO設定はユーザグループに追加します。
    GUIのユーザグループから新規作成でリモートグループに上記で作成したSSO設定を追加します。

    4. IPsec VPNトンネルの新規作成(GUI

    FortiGateはVPN作成ウィザードが用意されています。
    簡単にIPsecの設定ができますので、ここではその中でいくつか注意点を記述します。

    • [VPN] > [IPsecウィザード] を開く
    • 接続タイプとして 「リモートアクセス」 を選択
    • IKEバージョンに IKE Version 2 を指定
      1.png
    • EAP peer identificationの「EAP Identity Request」を有効化
      2.png
    • User authentication methodで利用するユーザグループを選択
      3で作成したSSOリモートグループを含むユーザグループです。
       SSL-VPNで使用していたグループとは異なる点にご注意ください。
      3.png
    • 暗号化スイートやライフタイムをFortiClientと一致するように必要に応じて調整

    5. ポート設定の変更

    SSL-VPNで利用していたポートと同じポート番号は利用できません。
    IPsec用に異なるポート番号を指定してください。GUIに該当箇所はないのでCLIで設定します。 

    FortiGate # config system global

    FortiGate (global) # set auth-ike-saml-port xxxx

    FortiGate (global) # end
    ※ ポート番号は任意です。

    一緒に外部インターフェースに手順3で作成したSAMLのユーザグループを追加します。

    FortiGate # config system interface

    FortiGate (interface) # edit wan1
    ※ご利用中のFortiGateの外部インターフェースを選択してください。

    FortiGate (interface) # set ike-saml-server xxxxxxxxx
    ※作成したSAMLのユーザグループを指定します。

    FortiGate (interface) # end

    6. クライアント要件(FortiClient

    利用者側では FortiClient 7.3.4以降 を利用する必要があります。
    切り替え前にあらかじめ配布と接続テストを行っておくと安心です。

    7. 段階的な移行(FortiOSアップグレード)

    • まずは FortiOS 7.6.2 へアップグレード(SSL-VPNIPsecを併用可能)
    • 利用者に案内しながら順次IPsecへ切り替えを実施
    • 全利用者がIPsecに移行完了したらバックアップを取得
    • FortiOSを最新バージョンへアップグレードし、SSL-VPNを廃止

    8. まとめ

    今回の移行は少し手間に感じるかもしれませんが、FortiOS 7.6.2を経由することでSSL-VPNIPsec
    併用できるため、利用者のVPN利用不可期間をなくし、現状をそのままに切り替えができます。
    SSL-VPN    終了後も安心してリモートアクセスを続けられるよう、段階的な切り替えをおすすめします。

    著者紹介

    SB C&S株式会社
    ICT事業本部 技術本部 ソリューション技術統括部 ソリューション技術部 2課
    佐竹 亮介

    Related Posts

    関連記事