G- SAML グローバル保護用のスイート認証を構成する方法
44269
Created On 06/04/20 20:16 PM - Last Modified 03/26/21 16:18 PM
Objective
このドキュメントは GP SAML G- 、次のドキュメントを確認してください、および Suite IDP
コンソールの構成とは無関係のグローバル保護の構成のサポートのため、いずれかのログオン モードを使用してポータルとゲートウェイを事前構成してくださいとして SAML firewall 、スイートとの統合のための基本的な構成 G- を提供するために作成されました。
Environment
- G-スイート SAML
- Pan-OS ファイアウォール
- グローバル認証の保護
Procedure
注:SAML ACS URLユーザーにとってシームレスなエクスペリエンスを作成するには、エンティティ ID 、ポータル / FQDN IP 、およびポータル証明書 SAN がすべて一致する必要があることに注意してください。 これらが一致しない場合は、リダイレクト中に証明書の検証に問題が表示される場合があります。 詳細については、次のドキュメント https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POXlCAO
参照してください。 G-スイート管理コンソール
のステップ 2にログインします。 アプリ > アプリ ステップ 3 に移動 SAML
します。 Apps SAML コンソールで、黄色の追加シンボルを選択して「 SSO アプリケーションを有効にする SAML 」
手順 4. ダイアログウィンドウで、「独自のカスタムアプリケーションをセットアップする」
ステップ5を選択します。 オプション 2 ダウンロード リンク「 IDP メタデータのダウンロード」を選択します。
- メタデータファイルのダウンロードが正常に終了したら、「次へ」を選択します。
ステップ 6. アプリケーションに名前を付け、必要に応じてカスタムアプリケーションの画像をアップロードすることもできます。
- 準備ができたら「次へ」を選択
ステップ7。 ここでは、Entity などのサービス プロバイダの詳細 ACS URL を構成します ID firewall 。
- この情報は、 でサービス プロバイダーメタデータ ファイルを生成することによって取得されます firewall 。
- このウィンドウを上にして空白のままにして、 firewall この情報を取得するために作業します。
ステップ 7A。 まず IDP 、ステップ 5 からメタデータをインポートしてメタデータを生成 SP し、アプリケーション構成を続行する必要があります。
- [ firewall デバイス] タブに移動> SAML ID プロバイダー
- 「インポート」を選択し、手順 IDP 5 でダウンロードしたメタデータファイルをインポートします。
- インポート後に選択した場合は、「ID プロバイダー証明書の検証」と「メタデータ署名の検証」の 選択を解除 します。
(注: 証明書の自己署名元を使用している IDP 場合、ID プロバイダー証明書の検証を有効にすることはできません。 PAN-OShttps://security.paloaltonetworks.com/ CVE-2020 -2021)への暴露を軽減するために、8.1.15、9.0.9、9.1.3 以降を使用していることを確認してください。
- OK完了時に選択します。
ステップ 7B.[デバイス >認証プロファイル] に移動>新しいプロファイルを追加します。
プロファイルで以下を指定します。
- [認証] タブ>タイプ: SAML
- Idp サーバー プロファイル>認証タブ: (ステップ 7b で作成された Idp プロファイル)
- [詳細設定] タブ> [許可] > [すべて追加] >選択します
- 設定の残りの部分はデフォルトのまま残され、 OK 一度完了したら選択します。
注: 認証プロファイルを設定したら、このステップでコミットを実行します。
ステップ 7C. 設定をコミットした後、デバイス >認証プロファイルに戻ります。
- 認証列に 「メタデータ」ハイパーリンクが表示されます。
ステップ7D。ハイパーリンクを選択すると、「 SAML メタデータのエクスポート」というラベルのダイアログウィンドウが開きます。 ご確認ください
- サービスのドロップダウン:「グローバル保護」を選択します。
- IP またはホスト名:使用する予定のポータル/ゲートウェイのホスト名または IP を選択します。
- 選択 OK すると、 SP メタデータファイルが自動的にワークステーションにダウンロードされます。
ステップ 7E. メタデータ SP ファイルを開き、 ACS URL および エンティティ ID を見つけます。
- スイートコンソールに戻り G- 、URLをアプリの設定に接続し、完了したら[次へ]を選択します。
注: 他のフィールドは、このドキュメントのデフォルトのままとなります。
ステップ 8. この設定では、属性マッピングには入りません。 これで、アプリケーションが完成し、スイートコンソールで表示できるようになります G- 。
ステップ 9. 上のアプリケーション IDP が完了したら、以前に作成した認証プロファイルを GP ログオン方法に使用します。
ポータル/ゲートウェイ構成でステップ 7B から GSuite 認証プロファイルを指定する
- ポータルの場合: ネットワーク > ポータル >ポータル>認証>クライアント認証>認証プロファイルを選択します
- ゲートウェイの場合: ネットワーク > ゲートウェイ >ゲートウェイ>クライアント認証>認証プロファイル>ゲートウェイを選択します。
- ここで行った変更をコミットし、セットアップをテストする準備が整いました。
- クライアント アプリケーションからポータルへの接続を開始する
- A あなたの意志へのリダイレクト IDP は、あなたのGoogleアカウントのログインページを表示します。 G-スイートの認証情報を使用してログオンする
- ユーザーが 2FA に登録されている場合、パスワードの後に 2FA 認証を求められます。
- ユーザーはサービスプロバイダーにリダイレクトされ、Suite で正常に認証された後に接続する必要があります G- 。