の ID プロバイダー構成 SAML
Objective
- SAMLIdP で署名された応答またはアサーションを送信するために必要な追加アクションの手順 SAML を提供します。
- および で ID CA- プロバイダー証明書の 検証チェックボックスを有効にできるように、IdP で発行された 証明書 を構成する手順 firewall を提供 Panorama します。
Environment
SAML IDP
Procedure
クイックサマリー:
署名済み SAML 応答: 使用している IdP が ADFS 、Azure AD 、Google、OneLogin、PingFederate、PingOne の場合、署名付き SAML の応答やアサーションを送信するアクションを実行する必要はありません。 Okta または他の IdP を使用している場合は、応答またはアサーションに署名するように IdP を設定しているかどうかを確認してください SAML 。 セキュリティのベスト プラクティスとして、 SAML 応答、アサーション、またはその両方に署名するように IdP を構成する必要があります SAML 。
ID プロバイダー証明書の検証を有効にする:ID プロバイダー証明書の検証チェックボックスを有効にするには、IdP プロバイダーの証明書が認証局によって発行されている必要があります。多くの一般的な ID プロバイダーは、既定で自己署名 IdP 証明書を生成しますが ADFS AD 、Azure、Okta、Ping One、OneLogin は CA- 、発行された IdP 証明書を使用する方法を提供します。
IDP プロバイダー | 署名付きの応答/アサーションを送信するために必要なアクション SAML はありますか? | [ IDP 認証局によって発行された証明書を使用して 、ID プロバイダー 証明書の検証を有効にする] チェック ボックスをオンにするオプションは firewall ありますか? |
ADFS | 違います | |
Azure AD | 違います | |
デュオ | Duo Access Gateway には、すべての SP に対して 1 つの署名キーがあるため、証明書を変更した場合でも、パロアルトネットワークスデバイスの設定以上の影響を受けます。 お客様は PAN-OS PAN-OS 、8.1.15、9.0.9、9.1.3以降の PAN-OS バージョンにアップグレードする必要があります | |
グーグルクラウドアイデンティティ | 違います |
|
Okta | ||
1つをpingする | 違います | |
ワンログイン | 違います | |
その他の IdP | 応答またはアサーションに署名するように IdP を構成したことを確認してください SAML 。 | 証明書の発行された証明書を構成できる場合は、IdP 管理者に確認してください CA- IDP 。 |
ADFS
CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順 PAN-OS
ステップ 1 - CA- 発行された証明書をトークン署名証明書として追加する ADFS
注: IDP 証明書 (トークン署名証明書とも呼ばれます) ADFS はグローバルであり、サービス プロバイダー単位ではありません。 証明書が変更された場合は、すべての証明書利用者を ADFS 更新して、新しいトークン署名証明書を受け入れる必要があります。
- エンタープライズ証明機関を使用して証明書を生成します。
- Microsoft からの指示に従って、トークン署名証明書を追加 https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/add-a-token-signing-certificate
手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS
CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:
- IdP 管理者に IdP メタデータを問い合わせてください。
- IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
- IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
- 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
- 構成を にコミット Panorama するか、または firewall にします。
Azure AD
CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順PAN-OS
手順 1 - Azure で CA- IdP 証明書として発行された証明書を追加する AD
- エンタープライズ証明機関を使用して証明書を生成します。
- Azure からの指示 AD に従って、新しく CA- 発行された証明書を追加https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate。
- IdP メタデータをエクスポートして次の手順を完了する前に、古い証明書を削除してください。
手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS
CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:
- IdP 管理者に IdP メタデータを問い合わせてください。
- IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
- IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
- 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
- 構成を にコミット Panorama するか、または firewall にします。
Duo から署名付きの応答またはアサーションを送信する手順
SAML構成は、次の 3 つの方法で設定できます。
- アプリケーション: 汎用サービスプロバイダ、 保護タイプ: デュオ主催の2FA SSO (シングルサインオン)
- Duo から署名付き SAML の応答またはアサーションを送信するために追加のアクションは必要ありません。
- アプリケーション: パロアルトネットワーク、 保護タイプ SSO :2FAと自己ホスト型(デュオアクセスゲートウェイ)
- Duo から署名付き SAML の応答またはアサーションを送信するために追加のアクションは必要ありません。
- アプリケーション: 汎用サービスプロバイダー、 保護タイプ: SSO 2FA(デュオアクセスゲートウェイ)
- SAMLこのアプリケーションを使用して構成を作成した場合、デフォルトでは SAML 応答とアサーションは署名されます。 SAML応答やアサーションが署名されていることを確認するには、次の手順を実行します。
- 作成した 汎用サービス プロバイダ アプリケーションをクリックします。
- [応答に署名]、[アサーションに署名]、またはその両方が選択されていることを確認し、[コンフィグレーションの保存] をクリックします。
Okta
Okta から署名付きの応答またはアサーションを送信する手順
構成は、 SAML 次の 2 つの方法で設定できます。
オクタ統合ネットワーク ( OIN ) 統合:
- 以下の統合 OIN (Okta 統合ネットワーク) のいずれかを使用した場合 SAML 、Okta から署名付きの応答またはアサーションを送信するために追加のアクションは必要ありません。
- パロアルトネットワークス - GlobalProtect
- パロアルトネットワークス - 管理者 UI
- パロアルトネットワークス - キャプティブポータル
アプリ統合ウィザード
- SAMLアプリケーション統合ウィザードを使用して構成を作成した場合、デフォルトでは SAML 、応答は署名されます。SAML回答が署名されていることを確認するには、次の手順を実行します。
- 作成した新しいアプリケーション統合をクリックし、[編集] > [一般>SAML設定]を選択します。
- [ 次へ] をクリックし、[ 構成 SAML] で [詳細設定の表示] を選択 します。
- [署名済み] に [応答] または [アサーション 署名]がコンフィグレーションされていることを確認します。
CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順PAN-OS
ステップ 1 - 追加 CA-IDPOkta で証明書として発行された証明書
Okta の指示に従って、発行 CA- された証明書を IDP Okta のドキュメントを使用して証明書として構成するには、次の手順に従 https://developer.okta.com/docs/guides/sign-your-own-saml-csr/overview/ ってください。
- 「Okta」のドキュメントの「署名CSR」の手順を完了するには、エンタープライズ プロセスに従って に署名する必要があります CSR 。 マイクロソフト証明機関と OpenSSL を使用してこれを実現する方法のクイック ガイドを次に示します。
- Microsoft 証明機関の使用: CSR Okta ドキュメントの 「 証明書署名要求の生成 CSR ()」 の手順で取得したを保存し MSFT 、Technet サイト の指示に従って CSR . 署名は CSR 、Okta ドキュメントの「 発行 CSR」ステップで Okta に渡す必要のある署名付き証明書を作成します。
- OpenSSLの使用 : CSR Okta ドキュメントの「証明書署名要求の生成 CSR ( )」ステップで取得したを保存し、OpenSSL CA コマンドを使用して署名 CSR し、次の手順で OktaCSRに返す必要のある署名付き証明書を作成します。 コマンドの例を以下に示しますが、詳細については OpenSSL のドキュメント を参照してください。
- 上記で取得した openssl ca <openssl config="" file="">-config CSR -in> -out <certificate.cer> </openssl>
手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS
CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:
- IdP 管理者に IdP メタデータを問い合わせてください。
- IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
- IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
- 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
- 構成を にコミット Panorama するか、または firewall にします。
CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順PAN-OS
ステップ 1 - OneLogin でフラグを持つ IdP 証明書 CA を追加する
OneLogin の指示に従って、 CA 基本制約拡張機能のフラグを持つ証明書を作成します。
https://onelogin.service-now.com/support?id=kb_article&sys_id=732a9943db109700d5505eea4b96192e
- 注: CA 上記のリンクのステップ 7 でフラグを有効にする必要があります。 そのステップは必須です。
手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS
CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:
- IdP 管理者に IdP メタデータを問い合わせてください。
- IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
- IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
- 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
- 構成を にコミット Panorama するか、または firewall にします。
CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順PAN-OS
ステップ 1 - CA- PingOne で発行された証明書を IdP 証明書として追加する
PingOne の指示に従って、 CA- 発行された証明書を証明書として構成 IDP https://docs.pingidentity.com/bundle/pingone/page/mfi1564020498415-1.html
手順 2 - メタデータをインポートし、"ID プロバイダー証明書の検証" を有効にする PAN-OS
CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:
- IdP 管理者に IdP メタデータを問い合わせてください。
- IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証 ] チェックボックスが有効になっていることを確認します。 OKをクリックします。
- IdP の証明書を発行したのと同じ証明書を使用して、 CA 証明書プロファイルを作成します。
- 新しく作成した IdP サーバー プロファイルと証明書プロファイルを SAML 認証プロファイルに追加します。
- 構成を にコミット Panorama するか、または firewall にします。