GlobalProtect クライアントレス VPN SAML SSO とオクタ

著者: スコットチェンマイ, 最終改訂6/23/2017

PAN-OSバージョン 8.0.x

Okta: Okta プラットフォーム開発者版

 

背景：

このドキュメントの目的は SAML SSO GlobalProtect 、Okta をクライアントレスに設定することです。 VPN

 

 

 

サービスプロバイダー ( SP ) – パロアルトネットワークス Firewall

id プロバイダー (IdP) – Okta

アプリケーション - GlobalProtect クライアントレス VPN

 

 

の構成のためのOktaドキュメント SAML GlobalProtect

http://saml-doc.okta.com/SAML_Docs/How-to-Configure- SAML-2 .0-for-パロアルト-ネットワーク GlobalProtect -.html

 

192.168.55.20 – GlobalProtect ポータルおよびクライアントレス VPN ホスト名

オクタ - https://dev-824646.oktapreview.com

 

Okta

 

アプリケーションの構成: (管理者 > アプリケーション > アプリケーションの追加)

 

追加するパロアルトネットワーク GlobalProtect スアプリケーション>検索 

 

 

 

 ベース URL :

https://GlobalProtectPortalAddress/SAML20/ SP /ACS

 

 

 

  

アプリケーション構成: (パロアルトネットワーク>管理>アプリケーション - GlobalProtect > サインオン)

 

 

 

 

デスクトップへのメタデータのダウンロード

 

 

 

  パロアルトネットワークス Firewall

 

サーバー構成: (デバイス タブ> サーバ プロファイル> SAML ID プロバイダ)

 

 Okta メタデータのインポート

(注: から自己署名証明書を持っている IDP 場合、ID プロバイダー証明書の検証を有効にすることはできません。 PAN-OShttps://security.paloaltonetworks.com/ CVE-2020 -2021)への暴露を軽減するために、8.1.15、9.0.9、9.1.3 以降を使用していることを確認してください。 
 

 

 

 

 

認証構成: ([デバイス] タブ > [認証プロファイル])

 

 

 

GlobalProtect ポータル構成: (ネットワーク タブ GlobalProtect >> ポータル

 

GlobalProtect ポータル認証 = SAML

 

 

 

 GlobalProtect クライアントレス VPN 構成

 

 

クライアント GlobalProtect レスに移動 VPN

https://192.168.55.20

 

認証するために Okta にリダイレクトします。 Okta は SAML アサーションを firewall に送信します。

 

 

 

 

 

システムログ: (モニタタブ > システム)

 

 

 

 

GlobalProtect VPN ユーザー Okta ポータルでクライアントレス アプリを公開する方法 SSO

 

IdP 開始ワークフローはサポートされていません。 回避策として、Okta ブックマークアプリを使用する

 

アプリケーションの構成: (管理者 > アプリケーション > アプリケーションの追加)

 

ブックマークアプリの検索 > 追加

 

 

 

URL:https://GlobalProtectPortalAddress/global-protect/portal/portal.esp

 

  

アプリケーション構成: (パロアルトネットワークス>管理>アプリケーション - GlobalProtect >一般)

 

パロアルトネットワークを非表示にする - GlobalProtect SAML ユーザーへのアプリケーション

 

 

Okta ポータルにログインする - https://mycompany.okta.com