の ID プロバイダー構成 SAML

の ID プロバイダー構成 SAML

102608
Created On 06/23/20 18:31 PM - Last Modified 03/26/21 18:26 PM


Objective


  • SAMLIdP で署名された応答またはアサーションを送信するために必要な追加アクションの手順 SAML を提供します。
  • および で ID CA- プロバイダー証明書の 検証チェックボックスを有効にできるように、IdP で発行された 証明書 を構成する手順 firewall を提供 Panorama します。

Environment


SAML IDP

Procedure


クイックサマリー:

署名済み SAML 応答: 使用している IdP が ADFS 、Azure AD 、Google、OneLogin、PingFederate、PingOne の場合、署名付き SAML の応答やアサーションを送信するアクションを実行する必要はありません。 Okta または他の IdP を使用している場合は、応答またはアサーションに署名するように IdP を設定しているかどうかを確認してください SAML 。 セキュリティのベスト プラクティスとして、 SAML 応答、アサーション、またはその両方に署名するように IdP を構成する必要があります SAML 。

ID プロバイダー証明書の検証を有効にする:ID プロバイダー証明書の検証チェックボックスを有効にするには、IdP プロバイダーの証明書が認証局によって発行されている必要があります。多くの一般的な ID プロバイダーは、既定で自己署名 IdP 証明書を生成しますが ADFS AD 、Azure、Okta、Ping One、OneLogin は CA- 、発行された IdP 証明書を使用する方法を提供します。 
 

IDP プロバイダー

署名付きの応答/アサーションを送信するために必要なアクション SAML はありますか?

[ IDP 認証局によって発行された証明書を使用して 、ID プロバイダー 証明書の検証を有効にする] チェック ボックスをオンにするオプションは firewall ありますか?

ADFS

違います

うん

Azure AD

違います

うん


デュオ

はい、デフォルトを変更した場合は、 .

Duo Access Gateway には、すべての SP に対して 1 つの署名キーがあるため、証明書を変更した場合でも、パロアルトネットワークスデバイスの設定以上の影響を受けます。 お客様は PAN-OS PAN-OS 、8.1.15、9.0.9、9.1.3以降の PAN-OS バージョンにアップグレードする必要があります

グーグルクラウドアイデンティティ

違います


 
お客様は PAN-OS PAN-OS 8.1.15、9.0.9、9.1.3またはそれ以降のバージョンに PAN-OS アップグレードする必要はありません

Okta

はい、デフォルトを変更した場合は、 .

うん

1つをpingする

違います

うん

ワンログイン

違います

うん

その他の IdP

応答またはアサーションに署名するように IdP を構成したことを確認してください SAML 。

証明書の発行された証明書を構成できる場合は、IdP 管理者に確認してください CA- IDP 。


ADFS 

CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順 PAN-OS

ステップ 1 - CA- 発行された証明書をトークン署名証明書として追加する ADFS

注: IDP 証明書 (トークン署名証明書とも呼ばれます) ADFS はグローバルであり、サービス プロバイダー単位ではありません。 証明書が変更された場合は、すべての証明書利用者を ADFS 更新して、新しいトークン署名証明書を受け入れる必要があります。

  1. エンタープライズ証明機関を使用して証明書を生成します。
  2. Microsoft からの指示に従って、トークン署名証明書を追加 https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/add-a-token-signing-certificate
IdP サーバー プロファイルで ID プロバイダー証明書を検証する SAML
 

手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS

CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:

  1. IdP 管理者に IdP メタデータを問い合わせてください。
  2. IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
  3. IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
  4. 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
  5. 構成を にコミット Panorama するか、または firewall にします。

Azure AD 

CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順PAN-OS 

手順 1 - Azure で CA- IdP 証明書として発行された証明書を追加する AD

  1. エンタープライズ証明機関を使用して証明書を生成します。
  2. Azure からの指示 AD に従って、新しく CA- 発行された証明書を追加https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate。
  3. IdP メタデータをエクスポートして次の手順を完了する前に、古い証明書を削除してください。

手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS

CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:

  1. IdP 管理者に IdP メタデータを問い合わせてください。
  2. IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
  3. IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
  4. 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
  5. 構成を にコミット Panorama するか、または firewall にします。

デュオ

Duo から署名付きの応答またはアサーションを送信する手順

SAML構成は、次の 3 つの方法で設定できます。

  1. アプリケーション: 汎用サービスプロバイダ、 保護タイプ: デュオ主催の2FA SSO (シングルサインオン)
    • Duo から署名付き SAML の応答またはアサーションを送信するために追加のアクションは必要ありません。
  2. アプリケーション: パロアルトネットワーク、 保護タイプ SSO :2FAと自己ホスト型(デュオアクセスゲートウェイ)
    • Duo から署名付き SAML の応答またはアサーションを送信するために追加のアクションは必要ありません。
  3. アプリケーション: 汎用サービスプロバイダー、 保護タイプ: SSO 2FA(デュオアクセスゲートウェイ)
    • SAMLこのアプリケーションを使用して構成を作成した場合、デフォルトでは SAML 応答とアサーションは署名されます。 SAML応答やアサーションが署名されていることを確認するには、次の手順を実行します。
  1. 作成した 汎用サービス プロバイダ アプリケーションをクリックします。
  1. [応答に署名]、[アサーションに署名]、またはその両方が選択されていることを確認し、[コンフィグレーションの保存] をクリックします。

Okta

Okta から署名付きの応答またはアサーションを送信する手順

構成は、 SAML 次の 2 つの方法で設定できます。

オクタ統合ネットワーク ( OIN ) 統合:

  • 以下の統合 OIN (Okta 統合ネットワーク) のいずれかを使用した場合 SAML 、Okta から署名付きの応答またはアサーションを送信するために追加のアクションは必要ありません。
  • パロアルトネットワークス - GlobalProtect 
  • パロアルトネットワークス - 管理者 UI 
  • パロアルトネットワークス - キャプティブポータル

アプリ統合ウィザード

  • SAMLアプリケーション統合ウィザードを使用して構成を作成した場合、デフォルトでは SAML 、応答は署名されます。SAML回答が署名されていることを確認するには、次の手順を実行します。
  1. 作成した新しいアプリケーション統合をクリックし、[編集] > [一般>SAML設定]を選択します。
作成した新しいアプリケーション統合をクリックし、[編集] > [一般> SAML 設定] を選択します。
  1. [ 次へ] をクリックし、[ 構成 SAML] で [詳細設定の表示] を選択 します。
[次へ] をクリックし、[構成 SAML ] で [詳細設定の表示] を選択します。
  1. [署名済み] に [応答] または [アサーション 署名]がコンフィグレーションされていることを確認します。
デフォルトでは、 応答アサーション署名 はどちらも 署名済みに設定され、手動で更新した場合にのみ無効になります。

[署名済み] に応答またはアサーション署名がコンフィグレーションされていることを確認します。

CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順PAN-OS 

ステップ 1 - 追加 CA-IDPOkta で証明書として発行された証明書

Okta の指示に従って、発行 CA- された証明書を IDP Okta のドキュメントを使用して証明書として構成するには、次の手順に従 https://developer.okta.com/docs/guides/sign-your-own-saml-csr/overview/ ってください

  1. 「Okta」のドキュメントの「署名CSR」の手順を完了するには、エンタープライズ プロセスに従って に署名する必要があります CSR 。 マイクロソフト証明機関と OpenSSL を使用してこれを実現する方法のクイック ガイドを次に示します。

 

手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS

CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:

  1. IdP 管理者に IdP メタデータを問い合わせてください。
  2. IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
  3. IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
  4. 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
  5. 構成を にコミット Panorama するか、または firewall にします。
ワンログイン

CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順PAN-OS 

ステップ 1 - OneLogin でフラグを持つ IdP 証明書 CA を追加する

OneLogin の指示に従って、 CA 基本制約拡張機能のフラグを持つ証明書を作成します。

https://onelogin.service-now.com/support?id=kb_article&sys_id=732a9943db109700d5505eea4b96192e

  • 注: CA 上記のリンクのステップ 7 でフラグを有効にする必要があります。 そのステップは必須です。

手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS

CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:

  1. IdP 管理者に IdP メタデータを問い合わせてください。
  2. IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
  3. IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
  4. 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
  5. 構成を にコミット Panorama するか、または firewall にします。
pingOne

CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順PAN-OS 

ステップ 1 - CA- PingOne で発行された証明書を IdP 証明書として追加する

PingOne の指示に従って、 CA- 発行された証明書を証明書として構成 IDP https://docs.pingidentity.com/bundle/pingone/page/mfi1564020498415-1.html 

手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS

CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:

  1. IdP 管理者に IdP メタデータを問い合わせてください。
  2. IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
  3. IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
  4. 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
  5. 構成を にコミット Panorama するか、または firewall にします。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXPCA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language