SAML2.0 経由で異なるvsysに管理者を認証する方法

SAML2.0 経由で異なるvsysに管理者を認証する方法

2913
Created On 10/28/24 08:53 AM - Last Modified 04/04/25 20:12 PM


Objective


この記事では、認証が SAML2.0 に基づいている場合に、各管理者が特定のvsysにアクセスできるようにするための設定について説明します。これは、管理者ロールとアクセス ドメイン機能に基づいています。

この機能は、マルチvsys NGFW では Panorama とは少し異なる動作をします (追加の注記を参照)。

Environment


  • マルチvsys NGFW
  • SAM2.0 について

Procedure


OKTA 構成

1. PAN管理UIアプリケーションを構成する

アプリケーション > アプリ カタログの参照 > Palo Alto Networks - Admin UI を検索します。

Configure PAN Admin UI Application

デバイスにFQDNするために使用する正確なURLを入力します。FQDN でもIPアドレスでもかまいません。

2. メタデータをエクスポートする

アプリケーション > Palo Alto Networks - FW の管理 UI > サインオン タブで、メタデータ ファイルをエクスポートします。
たとえば、コピーリンクを使用して任意の Web ブラウザーに貼り付け、ファイルをダウンロードします。

Export metadata

3.アプリケーションプロファイルにカスタム属性を追加する

ディレクトリ > プロファイル エディター > PAN 管理 UI アプリケーションに割り当てられたプロファイルを編集します。
プロファイルで、次の変数名を使用してカスタム属性を作成します。

  • 管理者ロール
  • アクセスドメイン

Profile Editor

4. アプリケーションにユーザーを割り当てる

アプリケーション > 先ほど作成したもの > 割り当て > [割り当て] ボタンをクリックして、ユーザーを検索します。

アプリケーションにユーザーを割り当てると、管理者ロールとアクセス ドメインの入力が求められます。

Assign role and admin domain to people

この例では、割り当ては次のようになります。
ユーザー名 / 管理者ロール / アクセスドメイン
user11 / vsys-admin-role / ad-for-vsys1
user12 / vsys-admin-role / ad-for-vsys2-3
user15 / vsys-admin-role / ad-for-all-vsys

NGFW 構成

1. アクセスドメインを構成する

デバイス > アクセスドメイン > 追加をクリック

Add Access DomainAccess Domains view

好みに応じて各アクセス ドメインにvsys を割り当てます。

2. 管理者ロールを設定する

デバイス > 管理者ロール > 追加をクリック

管理者ロールのタイプは仮想システムである必要があります。

3. IdPからメタデータファイルをインポートして新しいSAMLプロファイルを作成する

デバイス > サーバー プロファイル > SAML ID プロバイダー > [インポート] をクリックし、以前にダウンロードしたメタデータ ファイルを参照します。

SAML Identity Provider Server Profile Import

注: この例では、アイデンティティ プロバイダー証明書の検証はチェックされていません。無効にする必要があるという意味ではありません。

4. SAMLプロファイルを選択して新しい認証プロファイルを作成します。

デバイス > 認証プロファイル > 追加をクリックし、タイプ SAML を選択します。このプロファイルを共有場所に配置します。管理者ロールとアクセス ドメイン属性を、Okta で指定したのと同じスペルで入力することが非常に重要です。

Authentication Profile

5. 管理サービスに認証プロファイルを割り当てる

デバイス > セットアップ > 管理タブ ​​> クリックして認証設定を編集し、新しいプロファイルを追加してコミットする。

Authentication Settings

設定の変更が適用され、NGFW管理者UI にログインできるようになると、[ログイン] ボタンのすぐ下に、シングル サインオンを使用するための新しいオプションが表示されます。

Login SSO button

結果

ユーザーがログオンすると、割り当てられたvsys構成のみを表示できます。管理者ロールのカスタマイズについては、追加の注意事項を参照してください。

user11 viewing vsys1

user12 selecting vsys

Additional Information


検証のために、UIからシステムログで認証を確認できます: モニター > ログ > システム

System log verification

問題が存在する場合は、 CLIから確認するのも便利です。

> less mp-log authd.log
2024-10-23 01:26:02.579 -0700 debug: pan_auth_send_saml_resp(pan_auth_server.c:1164): Succeed to cache role/adomain vsys-admin-role/ad-for-all-vsys for user user15@example.local
2024-10-23 01:26:02.579 -0700 SAML SSO authenticated for user 'user15@example.local'.   auth profile 'saml-auth-profile', vsys 'shared', server profile 'okta-admins-saml-profile', IdP entityID 'http://www.okta.com/XXXXXXXXXXXXXXXXXXXX', admin role 'vsys-admin-role', access domain 'ad-for-all-vsys'

追加参考資料:

SAML 2.0 とアクセス ドメイン ( AD ) の適用を使用した管理者アクセスの Panorama 承認/制限

管理者ロールプロファイルを構成する

Palo Alto Networksの SAML 2.0 を設定する方法 - 管理 UI
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PQlzCAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language