を使用して AzureAD を使用して ID プロバイダー証明書を検証するを有効にする FW CA

クイックサマリー:

署名済み SAML 応答: 使用している IdP が ADFS 、Azure AD 、Google、OneLogin、PingFederate、PingOne の場合、署名付き SAML の応答やアサーションを送信するアクションを実行する必要はありません。 Okta または他の IdP を使用している場合は、応答またはアサーションに署名するように IdP を設定しているかどうかを確認してください SAML 。 セキュリティのベスト プラクティスとして、 SAML 応答、アサーション、またはその両方に署名するように IdP を構成する必要があります SAML 。

ID プロバイダー証明書の検証を有効にする:ID プロバイダー証明書の検証チェックボックスを有効にするには、IdP プロバイダーの証明書が認証局によって発行されている必要があります。多くの一般的な ID プロバイダーは、既定で自己署名 IdP 証明書を生成しますが ADFS AD 、Azure、Okta、Ping One、OneLogin は CA- 、発行された IdP 証明書を使用する方法を提供します。

この記事では、Azure で構成するためにアップグレードせずに ID プロバイダー証明書の検証を有効にするソリューションについて説明 SAML AD します。

• NGFW、 VM- シリーズ
• Panorama
• GlobalProtect ポータル/ゲートウェイ
• Prisma Access
• SAML

CA-発行された証明書を構成し、ID プロバイダー証明書の検証を有効にする手順PAN-OS 

手順 1 - Azure で CA- IdP 証明書として発行された証明書を追加する AD

1. Azure からの指示 AD に従って、新しく CA- 発行された証明書 https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate を追加します。
2. IdP メタデータをエクスポートして次の手順を完了する前に、古い証明書を削除してください。

CA-発行された証明書が IdP に設定されたら、IdP を と に再登録する必要があります PAN-OS Panorama 。 これを行うには:

1. IdP 管理者に IdP メタデータを問い合わせてください
2. IdP メタデータをにインポート PAN-OS し Panorama 、[ID プロバイダー証明書の検証] チェックボックスが有効になっていることを確認します。 クリック OK
3. IdP の証明書を発行したのと同じ CA 証明書を使用して証明書プロファイルを作成する
4. 新しく作成した IdP サーバー プロファイルと証明書プロファイルを認証プロファイルに追加する SAML
5. 構成を、 Panorama または firewall

 

6. PKCS12 ファイル形式で証明書をエクスポートする

 

7. Azure ポータルにログインし、[Azure アクティブ ディレクトリ] を選択します。

 

8. エンタープライズ アプリケーションの選択

 

9. グローバル保護の選択

10. [グローバル保護] で、[シングル サインオン] を選択 します。

 

11. [ SAML- ベースのサインオン] で、[ SAML 署名証明書 ] オプションを選択します。

 

12. パスワードを使用して証明書 (SAML_AzureSign) をインポート PFX する

13. 証明書をインポートした後、それをアクティブにし、前の証明書を削除してください
14. これでフェデレーション メタデータ XML をダウンロードまたはエクスポートできます。 firewall

15. ダウンロードしたメタデータのインポート先 firewall

 

16. SAML プロファイルはリンクで表示され、オプションのアイデンティティープロバイダー証明書SAML_AzureSign証明書を呼び出します

17. ルート証明書と中間証明書を使用した証明書プロファイルの作成

18. IdP サーバと証明書プロファイルを呼び出す認証プロファイルに移動します。

19. すべての変更をコミットし、認証プロファイルを使用する任意の機能にログインしてみてください SAML