質問 1  SAML Aseer Attributeフォーマットについて、教えてください。 basicとuri形式がありますが、こちら uri 形式のフォーマットに準拠せずに basic 形式だと思われる uid などの Attribute  名で uri 形式フォーマットを指定して送信する SP を見かけますが、これは SAML 仕様準拠していないということでしょうか。
SAML におけるアサーション属性のフォーマットには、基本的に「basic」形式と「URI」形式が存在し、属性名の命名規則を示します。
・Basic 形式: 単純な文字列で表される形式で、uid や email などの属性名がこれに該当します。
・URI 形式: URI を用いた形式で、urn:oid:2.5.4.42（これは givenName を表す）などがこれに該当します。
形式と実際の値が一致していることが望ましいですが、形式と実際の値が異なる場合は、該当 SP に問い合わせて頂くのがよろしいかと存じます。

質問 2  SAML で使用するデジタル証明書は、SP/IDP 単位で信頼できる第三者機関で署名すべきでしょうか。それとも自己認証局でもよかったりしますでしょうか。
通常は第三者機関経由で個別に取得することはせずに、SP/IdPにて自動生成された証明書を使用します。

質問 3  SAML で使用するデジタル証明書を定期的に取得して更新対応できる SP/IDP などはあるのでしょうか。
一般的には、証明書の有効期限が切れる前に手動で更新します。

質問 4  今回は EntraID を IdP としての設定デモとなりますが、ほかの IdP であっても基本は同じで若干名称は異なるものの流れとしては同じような形になるという理解でよろしいでしょうか。
SAML に準拠しているサービスであれば、異なるサービスを連携する場合においても同様の設定及び動作になります。

質問 5  ISE を利用した通信フローですが、MAB 認証がありました。無線を利用した際に MAC アドレスは簡単に詐称できるのであまり使わないようにしています。MAB 認証が記載されている意図はなんでしょうか。
ISE から AP に対して Redirect ACL/Redirect URL を配布にするには、WLC から ISE に対して何かしらの RADIUS パケットを送信する必要がございます。Guest Access では、このために、よく MAB が使われますが、EAP-TLS などを使うことも可能になります。MAB を使用した場合、ISE 側は端末の  MACアドレスは検証せず、そのまま RADIUS パケットを返信します。

質問 6  いろんなものを SMAL 連携させることは便利だと思うのですが、entraID の情報が流れてしまうと、いろんなアプリケーションにログインできてしまうことになり、セキュリティ的に逆に心配というお客様がいたのですが、そういった方に対してはどのように返答するのがいいでしょうか。
ご認識のとおり、これはよくある質問です。ただ、IdP を運用管理している組織（例：マイクロソフト）は数々のセキュリティ認証を取得しており、セキュリティテストなどを定期的に行っていると考えられ、自前でオンプレミスで認証機構を構築するよりも安価で安全だと存じます。

質問 7  Remote VPN 接続時、EntraID と  SAML 連携したうえで属性マッピングを行う場合、トラシューするときにはどのようなポイントを確認すればよいでしょうか。（ツールやコマンドなど含め）
基本的に SAML の通信はユーザを経由して行われるため、ユーザの観点で、SP から正しい情報を受け取っており、ユーザが正しい情報を IdP にリダイレクトするなどの確認が有効です。そのためには SAML Tracer などで分析する事が有効です。また、SP/IdP の設定の見直しも有効です。

質問 8  認証の際、EntraID は端末からの認証リクエストをなぜ ISE を宛先と判断できるのでしょうか。最初に端末、ユーザーは個別情報を含む ID トークンをEntraID  に送るのでしょうか？ その場合、EntraID が ISE とどう連携するのでしょうか。
User から IdP に送信される SAML Request に格納されている SP の Entity ID と Assertion Consumer Service URL の値により、このSAML Request が ISE に関連するもだと判断可能になります。

質問 9  認可の際に権限を idP 側で設定されてましたが、それは SP 側で設定することは可能なのでしょうか。どちらが一般的なのでしょうか。
IdP 側では認証結果に含める属性情報を設定します。認証結果に含まれている属性情報を基に、User にどのような権限を割り当てるかは SP 側で設定します。

質問 10  ASA-OS にてリモートアクセス VPN の SAML 認証設定を行う場合、ASA の Group-policy を SAML アサーションデータから割り当てるには DAP の設定が必須になりますでしょうか。
DAP は不要になります。Group Policy 毎に個別に Entity ID と Assertion Consumer Service URL が発行されるため、Group Policy 毎に Entra ID 側で Enterprise Application を設定する必要があります。

質問 11  SAML は Azure を使った認証方法でしょうか。  
SAML は SSO において使用されるプロトコルになりますので、Azure 以外でも使用されます。

質問 12  ISE の認証方法（Radius/Tacacs+）との主な違いは？
RADIUS/TACACS+ の場合、認証情報の一元管理は可能ですが、Single Sign On は実現不可能になります。つまり、あるアプリケーションにログイン後に別のアプリケーションにログインを試みた際に、再度ユーザ名とパスワードを入力する必要がございます。。

質問 13  各ソリューション（FP、ISE、Unbrella）で機能的な違いはございますでしょうか。
製品によって実現可能なことは大きく異なります。Secure Secure Firewall は次世代ファイアウォールとして通信を検査し、許可、ブロックします。一方、ISE は端末がネットワークに接続した際の端末の認証を実施します。Umbrella は端末のインターネットアクセスを制御します。

質問 14  SAML の認証情報の管理は Azure 側で行うのでしょうか。
Entra ID 側でユーザ名、パスワード、属性情報を管理します。

質問 15  SAML のセキュリティの強度比較などありますでしょうか。
SAML は SSO を実現するためのプロトコルなため、MD5 やデジタル証明書と暗号強度を一概に比較することは不可になります。SAML でやり取りされる情報は HTTPS で暗号化されております。

質問 16  IdP がシステムダウンしていた場合、SP への認証はどうなるのでしょうか。多段認証のように代替手段を設定できるのでしょうか。
IdP がシステムダウンしていた場合、これは、その IdP を利用した SSO ができなくなることとほぼ同義です。この状況に対応するためには、サービス側（SP、SalesForce など）で、SSO が出来ない際のローカルログインなどの回避策が実装されていることが必要になります。

質問 17  連携先の機器によって受け取った assertion の処理方法は依存すると理解しましたが、製品によっては余計な assertion がついていることによってエラーが出るとかはないでしょうか。連携先での動作をコントロールするために色々 assertion を付与しても、連携先機器側で特にその assertion を使わないようにしておけば問題がない（無視される）形でしょうか。
通常 Assertion にどのような属性情報をマッピングさせるかについては、SP 側（SalesForce などのサービス側）にてガイドがあり、それに従うのが一般的になります。サービス側で不具合が起こる可能性がある為、SP 側が連携したい属性情報のみを設定します。

質問 18  saml asser. の情報ですが、idp にログインしたユーザが知らない間に SP 側に asser attribute を送信しているのが実情だと思います。この asser.attr. 送信時にどの情報を SP に送信しているかを明確にしておかないと、個人情報の漏洩ということになりかねないかもしれないと思います。このあたり saml の流れとしてはどうなっていきますでしょうか。
SP 側で要求されていない属性情報は含めないことで、不要な情報漏洩のリスクを軽減可能になります。

公開の難しい情報などは掲載を見送らせていただくこともございます。ご容赦いただけますと幸いです。
当オンラインセミナーのご参加、誠にありがとうございました。 またのご参加をお待ちしております。