GlobalProtect で多数の SAML カスタム アプリケーションを設計および管理するにはどうすればよいですか?
6620
Created On 06/13/23 21:38 PM - Last Modified 07/27/23 02:22 AM
Objective
- OKTA IdP プロバイダーには、SAML アプリケーションの要求可能な SSO URL の最大制限という制限があります。つまり、最大 100 個のカスタム アプリケーションのみをサポートします。
- 一部の顧客環境では、ポータル、ゲートウェイ、ファイアウォール/パノラマ管理ログインが混在し、100 を超える SSO URL が存在する場合があります。 OKTA のこの制限は、お客様が環境に合わせて適切な設計を行うのに役立ちません。
Environment
- PAN-OS ファイアウォール 10.1 以降
- クラウド認証サービス (CAS) SAML 認証
- OKTA IdP プロバイダー
- オンプレミスの GlobalProtect ポータルとゲートウェイ
- Panorama 管理の Prisma Access
Procedure
- この種の環境を設計するには、Cloud Identity Engine (CIE) の使用を検討する必要があります。
- 設計に CIE を使用すると、ネットワーク管理者は OKTA 側でギャラリー アプリケーションを作成し、CIE と統合できます。
- CIE は、一方からポータル、ゲートウェイ、またはファイアウォール/パノラマ管理ログインにアクセスし、もう一方から OKTA IdP にアクセスするユーザー間のブリッジとして機能します。
- そのため、OKTA 側でアプリケーションが不足することはなく、ユーザー認証の方法が簡素化されます。
- ギャラリーアプリケーションの設定手順の詳細はこちらに記載されていますリンク
Additional Information
Okta IdP プロバイダーには、この問題の回避策があり、この問題に示されています。リンクしたがって、この制限については IdP プロバイダーと話し合うことをお勧めします。