GlobalProtect の OneLogin SAML 認証をセットアップ方法

• IDP として OneLogin を使用した SAML 統合のための基本的な GP設定を提供します。
• いずれかのログオン モード (オンデマンド、事前ログオン、またはユーザー ログオン) を使用して、GP ポータルとゲートウェイを構成します。
• 次に、ファイアウォールと OneLogin ダッシュボードでの SAML設定については、以下の手順に従います。

• パロアルトファイアウォール
• サポートされている全OS
• ワンログイン
• SAML グローバル保護

1. OneLoginダッシュボードにログインします。
2. アプリケーションに移動し、「アプリの追加」をクリックします。SAML を検索し、「SAML テスト コネクタ (IdP)」を選択します。

3. プロンプトが表示されたら、アプリの表示名を変更し、「保存」をクリックします。

4. SSOタブに移動し、発行者URL、SAML 2.0エンドポイント（HTTP）、SLOエンドポイント（HTTP）、またはその他のアクションのSAMLメタデータのIdPメタデータ値をコピーして、SAML IdPメタデータをダウンロードします。

• [SSO]タブに移動し、発行者URL、SAML 2.0 エンドポイント (HTTP)、SLO エンドポイント (HTTP ) の IdP メタデータ値をコピーするか、[その他のアクション] の [SAML メタデータ] をクリックして SAML IdP メタデータをダウンロードします。

6. 手順 4 でダウンロードした SAML IdP メタデータ XML をインポートします。インポート後に「アイデンティティ プロバイダー証明書の検証」と「メタデータ署名の検証」が選択されている場合は、チェックを外します。「 Ok 」をクリックします。

7. 次に、デバイス > 認証プロファイル > 追加に移動して新しいプロファイルを追加します。次の項目を指定します。

• 認証タブ > タイプ: SAML
• ユーザー名属性 >ユーザー名
• 認証タブ > Idpサーバ プロファイル(手順 6 で作成されたプロファイル)
• 詳細タブ >許可リスト > 追加を選択 > すべて
• 完了したら「Ok」を選択します。

8. ファイアウォールの変更をコミットする
9. 認証列のメタデータハイパーリンクをクリックします。

メタデータハイパーリンクを選択し、以下の設定を行います

• サービスドロップダウン> 「global-protect」を選択
• IP またはホスト名 > これを使用する予定のポータル/ゲートウェイのホスト名または IP を選択します
• [Ok] を選択すると、SP メタデータ ファイルがワークステーションに自動的にダウンロードされ始めます。

10. ダウンロードした XML ファイルを開き、EntiryID と ACL URLをコピーします。

11. Oneloginダッシュボードに戻り、アプリケーション > SAMLテストコネクタ（idP） > 構成を選択します。以下のように設定を完了します。

• 対象者 (エンティティ ID) > 手順 10 でコピーしたエンティティ ID。
• ACS (コンシューマー) URL > 手順 10 でコピーした ACS URL 。
• ACS (コンシューマー) URL検証 > 有効な正規表現を指定します。例:
• [-a-zA-Z0-9@:%._\+~#=]{2,256}\.[az]{2,6}\ B([-a-zA-Z0-9@:%_\+.~#?&//=]*)
• 「保存」をクリックします。

12. OneLogin SAML認証プロファイルが使用できるようになりました。

• ファイアウォールのWebインターフェイスに移動し、ポータル/ゲートウェイ設定で OneLogin_GP_Authプロファイルを指定します。
• ポータルの場合: ネットワークタブ > ポータル > ポータルを選択 > 認証 > クライアント認証 > 認証プロファイルに移動します。

• ゲートウェイの場合: ネットワークタブ > ポータル > ポータルを選択 > 認証 > クライアント認証 > 認証プロファイル

• 変更をコミットします。

Globalprotect ポータルとゲートウェイの構成については、次の記事を参照してください。

オンデマンドによる基本的なGlobalProtect構成

ログオン前の基本的な GlobalProtect 構成

ユーザーログオンによる基本的な GlobalProtect 構成