APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

【Zscaler】知る人ぞ知る、Support Portal アカウントの仕様

#1 はじめに

こんにちは、エーピーコミュニケーションズ 0-WANの島田です。

Zscalerには、サポートへ問い合わせるための専用サイト Support Portal が存在します。通常はZIAやZPAのAdmin Portalから「Submit a Ticket」をクリックすることでこのポータルへアクセスできます。その際、特に認証等は求められないため、このポータル上のアカウントはどのように生成され、どのような特性を持っているのか意識されないことが多いのではないでしょうか。そこで今回は、この Support Portal のアカウントの仕様について、検証していて分かったことを書いていきたいと思います。

Support Portalのメイン画面
右上の私の名前がちょっと変?それはさておき...

#2 Support Portal のアカウント

ZIA/ZPAのAdmin PortalからSupport Portalを開く一連の流れによって、なんとなく各テナントの各Administrator毎にアカウントが作成されているイメージがありますが、実はこのポータル上のアカウントには下記のような性質があります。

  • メールアドレスを固有のパラメータとしたアカウントであり、Admin PortalのLogin IDは付加情報に含まれない
  • 全クラウド面・全テナント共通で1メールアドレスにつき1つしかアカウントが作成されない
  • 1つのメールアドレスが紐づけられるテナントは1つのみ

AdministratorのEmailとSupport Portal上のアカウントの関係
AdministratorのEmailとSupport Portal上のアカウントの関係

「全クラウド面・全テナント共通」、つまりzscalertwoやzscalerthreeのようにクラウド面が分かれていても、Support Portal上では同一のメールアドレスが重複して存在できない仕様になっています。また、1つのメールアドレスが紐づけられるテナントは唯一であるため、他のテナントで同一のメールアドレスを指定したAdministratorからSupport Portalへアクセスしようとするとエラーになってしまいます。逆に、同一のテナント上で複数のAdministratorに同一のメールアドレスを設定すると、Support Portalへアクセスした際には同じアカウントを使用することになります。

複数のテナントを管理していると、下図のようなエラーに遭遇したことのある方も多いのではないでしょうか。これには私も長年悩まされていましたが、異なるテナント間でのメールアドレス重複や、Support Portal側にアカウントが存在しないことが原因であることを最近ようやく認知できました。

Zscaler Single Sign-On Error

Single Sign-On Error
We can't log you in because of an issue with single sign-on. Contact your Salesforce admin for help.

これを解消するには、アクセスできない側のAdministratorのメールアドレスを重複していない別のものに変更する必要があります。Login IDと違って、そのテナントに登録されていないドメインのアドレスも指定できますが、Support Portalから届くメールのデフォルトの宛先として扱われる点にはご注意ください。

#3 検証:複数のAdministratorがSupport Portal上では同一アカウントになる

同じアドレスでZPA Administratorを作成
同じアドレスでZPA Administratorを作成

同じテナント内で、複数のアカウントに対して上図のように同じアドレスを指定し、それぞれがSupport Portalへアクセスしてみました。すると上述の通り、やはりSupport Portal上では同一アカウントとなりました。また、Support Portal上の名前は先にアクセスしたAdministratorのまま不変のようです。

#4 検証:Support Portalのアカウントはどのような条件で作成されるか

ZIA/ZPAそれぞれに、「ランダムな文字列+自社ドメイン」のメールアドレスを設定した新規Administratorを作成し、Support Portalへアクセスしてみました。その結果、ZIAでは正常にそのアドレスのアカウントでアクセスできたものの、ZPAではSSO Errorとなってしまいました。このことから、Support Portal上にアカウントが存在しないアドレスのZIA Administratorがアクセスしてきたときに、アカウントが作成されているのではないかと推測されます。

Support Portal Profile
Support Portal Profile

Profileの画面上は Login ID に関する情報がなく、メールアドレスベースでアカウントが管理されていることが分かります。

#5 おわりに

以上、Zscaler Support Portalのアカウントの仕組みについてでした。普段とは大きく異なる趣旨の記事でしたが、サポートさせていただくお客様が増えてきたことで原因不明のSSOエラーについて整理がついたため、共有させていただきました。今回もお読みいただきありがとうございました!

0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp