FortinetのSSOについて

2026-04-02

Fortinet SSOとは

Fortinet SSO（Single Sign-On） とは、ユーザーが一度のログインで、Fortinet製品（FortiGate、FortiAnalyzer、FortiAuthenticatorなど）や外部クラウドサービス（Microsoft 365、Google Workspaceなど）へシームレスにアクセスできる仕組みです。

これにより、

一度のログインで複数サービスを利用可能
管理者は認証・アクセス・ログを一元管理
パスワード使い回しや漏えいのリスクを大幅削減

といった効果を実現します。

SSOは単なる「便利なログイン機能」ではなく、ゼロトラスト・セキュリティ基盤の中核を担う要素です。

Fortinet SSOを支える3つの主要コンポーネント

FortiGate（フォーティゲート）

Fortinetの代表的な次世代ファイアウォール（（NGFW）で、ユーザー認証やポリシー適用のゲートウェイとして機能します。

FSSO連携時は「ユーザー識別情報」を受け取り、SAML連携時は「SSOトークンの検証」を担当します。

FortiAuthenticator（フォーティオーセンティケーター）

Fortinet環境における認証サーバー兼IDプロバイダー（IdP）。

SSOの中核であり、以下の主要機能を備えます。

LDAP / AD 連携
RADIUS認証
SAML IdP 機能
OAuth2 / OpenID Connect対応
MFA（多要素認証：FortiTokenによるワンタイムパスワード・プッシュ通知）

オンプレ・クラウドを問わず、統合的なSSOを提供します。

FortiClient / FortiToken

ユーザー端末側で利用されるクライアントまたは認証トークンアプリ。

VPN接続や多要素認証をサポートし、セキュリティを補強します。

SSOの代表的な構成パターン

Fortinet環境のSSOは、要件に応じて以下の方式を選択します。

パターン①：FSSO（Fortinet Single Sign-On）方式

構成：FortiGate + FSSO Collector Agent + Active Directory
仕組み：Windowsログオン情報をCollector Agentが監視し、FortiGateに「ユーザー名＋IPアドレス」を通知。
特徴：LAN内のユーザーを透過的に識別でき、ログイン操作なしで利用可能。
用途：社内ポータル、LANアクセス制御、社内VPN認証など。

Agentless（ポーリング）方式やCollector冗長構成もサポート。

パターン②：SAML連携方式（クラウドSSO）

構成：FortiAuthenticator（IdP）＋FortiGate（SP）＋Microsoft Entra ID / Google Workspaceなど
仕組み：ユーザーは一度IdPにログインすれば、関連するクラウドサービスやVPNへ自動ログイン可能。
特徴：ゼロトラストやリモートアクセス環境に最適。
用途：SSL VPN、クラウドアプリ、SaaS連携。

FortiGate SSL VPN × Microsoft Entra ID（旧Azure AD）の「SP-Initiated」構成が代表例です。

パターン③：OAuth2 / OpenID Connect / RADIUS連携方式

構成：FortiAuthenticator中心に、外部IdP（Okta、Azure ADなど）と連携。
特徴：SAMLと異なりトークンベースのモダン認可方式を採用。
用途：API認証、ゼロトラストアクセス、SaaS連携の拡張。

FortiAuthenticatorはOAuth2/OIDC対応IdPとして動作し、SAMLとのハイブリッド運用も可能。

SAML SSO導入の流れ（FortiGate × FortiAuthenticator）

FortiAuthenticator（IdP）設定

SAML IdPを有効化し、証明書を生成またはインポート
FortiGateをSPとして登録（Entity ID・ACS URLを入力）

FortiGate（SP）設定

IdPメタデータをインポート
SSO URL、証明書、Entity IDを設定
IdP署名の検証を有効化

ユーザーグループ設定

FortiGateでSSOグループを作成
アクセスポリシーにグループを紐付け

クライアント動作確認

FortiGateポータルにアクセス
FortiAuthenticator経由で認証
SSOで自動ログインが完了

SSO導入によるメリット

項目	内容
セキュリティ強化	MFA・SAML連携によりID/パスワード漏えいリスクを低減
利便性向上	一度の認証でVPN・社内システム・クラウドにアクセス可能
一元管理	FortiAuthenticatorで認証・権限・ログを集中管理
コスト削減	パスワードリセット対応や二重管理の削減
監査性向上	FortiAnalyzer連携でアクセスログを統合可視化

運用時の注意点とベストプラクティス

証明書の整備
信頼済みCAによる証明書を使用し、自己署名は避ける。
NTP同期
IdPとSPの時刻ずれは認証エラーの原因となるため、NTPで時刻を同期。
ユーザー属性統一
FortiAuthenticatorとAD間でUPN・メールアドレス属性を一致させる。
MFA導入
FortiToken（モバイルまたはハードウェア）による多要素認証を推奨。
障害時対策
IdPが停止した場合に備え、ローカル管理者アカウントやバックアップ経路を用意。
ログ監査の徹底
FortiAnalyzerを併用し、「誰が・いつ・どこに」アクセスしたかを追跡可能に。

実践活用シナリオ

シナリオ	構成・効果
社内VPN＋Microsoft 365統合SSO	FortiAuthenticatorをIdPとしてSAML連携。VPNログイン後、Microsoft 365へ自動認証。
ゼロトラストアクセス制御	FortiGate＋FortiAuthenticator＋FortiClientで端末健全性＋SSO認証を実現。
複数拠点統合管理	各拠点FortiGateをSP、中央FortiAuthenticatorをIdPとし、全社統合認証を実現。