サードパーティ ID プロバイダー (IDP) を有効にする方法
Environment
カスタマーサポートポータル (CSP)
Resolution
サードパーティ ID プロバイダー (IDP) を有効にする方法
- 概要
- 第三者IDプロバイダーとは何ですか?
- 前提条件
- 3rd Party Identity Provider を有効にする
- SSOログインの確認
- Faq
- SSO設定ページにアクセスできないのはなぜですか?
- 3rd Party IDPに切り替えると停止は発生しますか?
- 移行後にSSOの問題が発生した場合、誰に連絡すればよいですか?
- サポートポータルでのユーザーの追加方法に、他に変更はありますか?
- ID プロバイダーが SAML 応答を拒否するのはなぜですか?
概要
このドキュメントでは、サードパーティのIDプロバイダー(Idp)でSSOを有効にする方法について詳しく説明します。
カスタマー サポート ポータル (CSP) でサードパーティ Idp オプションを有効にすると、アカウント メンバーは自分の会社の資格情報を使用してログインできます。
サードパーティの Idp はドメイン レベルで設定されるため、メンバーは企業 SSO を使用して複数の CSP アカウントに所属し、ログインできます。 また、同じ設定を使用して他のパロアルトネットワークスアプリケーションにログインすることもできます。
第三者IDプロバイダーとは何ですか?
パロアルトネットワークスでは、お客様やパートナーが独自のIDプロバイダーを持ち込んで、パロアルトネットワークスのリソース(カスタマーサポートポータルなど)にアクセスすることができます。 ドメイン管理者(DA)アカウントは例外で、引き続きパロアルトネットワークスの認証情報を使用します。
前提条件
以下は、ドメインでサードパーティ Idp を有効にするための前提条件です。
- アカウントのサードパーティ Idp アクセスを構成するには、CSP のドメイン管理者 (DA) ロールが必要です。
- Palo Alto Networks が提供する SSO 構成の詳細を更新するには、ID プロバイダーの管理者アクセス権が必要です。
- 確認には、ドメイン管理者 (DA) 以外のアカウントが 1 つ必要です。
- 以下の URL がネットワークからアクセス可能であることを確認してください。場合によっては、IT/ネットワークチームと協力して、これらのURLをホワイトリストに登録する必要があります。
https://accounts.paloaltonetworks.com/
https://accounts.api.paloaltonetworks.com/
3rd Party Identity Provider を有効にする
- サードパーティ Idp を有効にするには、CSP の [アカウントの詳細] ページに移動し、ドメインの [シングルサインオン設定の表示] をクリックします。
- このリンクをクリックすると、ID プロバイダーの詳細を入力できるポータルに移動します。以下のエラーメッセージが表示された場合は、上記の「前提条件」に記載されているURLがネットワークからアクセス可能かどうか、およびファイアウォールがこれらのURLをブロックしていないことを確認してください。
リクエストの処理中にエラーが発生しました。ssoadmins@paloaltonetworks.com までご連絡ください。 - IDプロバイダーの詳細をフォームに入力し、「保存」をクリックします。 これは設定を保存するだけで、 まだアクティブ化されていないことに注意してください。 ドメイン内のすべてのユーザーに対して ID プロバイダーを有効にする前に、SSO 設定をテストしてください。
- 設定を保存すると、ページの下部に Palo Alto Networks のサービス プロバイダ情報が表示されます。
- ページに表示されている Palo Alto Networks の情報で ID プロバイダーを更新します。 以下は、SAML設定に追加する詳細です。
- NameId:
- 値: 名前識別子で送信する電子メール アドレスを構成します
- 形式: NameId 形式を "未指定" として構成します
- 追加のSAML属性: 以下は、追加のSAML属性です
- firstName: ユーザーの名
- lastName: ユーザーの姓
- NameId:
- 重要: 「ID プロバイダーを有効にする」前に、SSO 設定をテストしてください。 SSO設定は、IDプロバイダーが開始するフローを使用してテストできます。
- シークレット ウィンドウを開き、ID プロバイダーの SSO サービス URL を入力します
- 企業の資格情報を使用して ID プロバイダーにログインします
- ログインに成功すると、IDプロバイダーはSAMLをPalo Alto Networks Service Providerに投稿します
- セットアップに問題がある場合は、画面にエラーメッセージが表示されます
- SSOハンドシェイクが成功すると、sso.paloaltonetworks.com のホームページに移動します
- SSOが正常に動作することを確認したら、「SSOを有効にする」ことができます。 これにより、ドメイン管理者を除く、その電子メールドメイン内のすべてのユーザーのIDプロバイダーが有効になります。 ドメイン管理者(DA)には、サポートケース/ユーザー管理に関するSSOの問題に対処するために、Idp SSOをバイパスする権限があります。
SSOログインの確認
IDプロバイダーを有効にすると、すべてのユーザー(ドメイン管理者を除く)はSSO経由でログインするように強制されます。 以下の手順に従って、エンドツーエンドのセットアップを確認できます
新しいシークレット ブラウザー ウィンドウを開き、サポート ポータルの URL にアクセスします。
- サインイン ページでメール アドレスを入力します (ドメイン管理者のメール アドレスではありません)
- 認証のためにIdpログインページにリダイレクトされます
- 認証後、カスタマーサポートポータルのホームページに移動します。
Faq
SSO設定ページにアクセスできないのはなぜですか?
以下のエラーメッセージが表示された場合は、以下のURLがネットワーク上の許可リストに追加されているかどうか、およびファイアウォールがアクセスをブロックしていないことを確認してください。
https://accounts.paloaltonetworks.com/
https://accounts.api.paloaltonetworks.com/ メッセージ: リクエストの処理中にエラーが発生しました。お問い合わせください: ssoadmins@paloaltonetworks.com
3rd Party Idp に切り替えると停止しますか?
はい、ドメイン管理者が ID プロバイダーを構成してアクティブ化している間に、約 1 時間の停止が発生する可能性があります。 テストして慎重に行えば、停止は発生しません。
移行後にSSOの問題が発生した場合、誰に連絡すればよいですか?
問題がある場合は、https://support.paloaltonetworks.com で管理者ケースを開いてください。ログインできない場合は、「ヘルプが必要ですか?」オプションを選択します。
サポートポータルでのユーザーの追加方法に、他に変更はありますか?
いいえ. このプロセスに変更はありませんが、1 つの例外として、アカウント登録リンクを使用して、3rd パーティが有効なドメインを持つユーザーを追加することはできません。
CSP とサードパーティの IDP プラットフォーム間のユーザー作成における JIT プロビジョニングと自動化は、現時点ではサポートされていません。 ユーザーは CSP に手動で追加する必要があります。
ID プロバイダーが SAML 応答を拒否するのはなぜですか?
NameID 形式は必ず "Unspecified" に設定してください。 サービスプロバイダーはSAMLリクエストに署名し、NameID形式を「Unspecified」として送信します。 この設定は、ID プロバイダーで構成されている内容と一致する必要があります。
SSO IDP証明書の更新方法
こちらの記事を参考にしてください https://paloaltonetworks.lightning.force.com/lightning/r/Knowledge__kav/ka14u000000XzEuAAK/view?ws=%2Flightning%2Fr%2FCase%2F5004u00002xNaUxAAK%2Fview