Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
サードパーティ ID プロバイダー (IDP) を有効にする方法 - Knowledge Base - Palo Alto Networks

サードパーティ ID プロバイダー (IDP) を有効にする方法

68727
Created On 09/16/22 14:52 PM - Last Modified 11/08/24 21:32 PM


Environment


カスタマーサポートポータル (CSP)



    Resolution


    サードパーティ ID プロバイダー (IDP) を有効にする方法

    • 概要
    • 第三者IDプロバイダーとは何ですか?
    • 前提条件
    • 3rd Party Identity Provider を有効にする
    • SSOログインの確認
    • Faq
      • SSO設定ページにアクセスできないのはなぜですか?
      • 3rd Party IDPに切り替えると停止は発生しますか?
      • 移行後にSSOの問題が発生した場合、誰に連絡すればよいですか?
      • サポートポータルでのユーザーの追加方法に、他に変更はありますか?
      • ID プロバイダーが SAML 応答を拒否するのはなぜですか?
     

    概要

    このドキュメントでは、サードパーティのIDプロバイダー(Idp)でSSOを有効にする方法について詳しく説明します。

    カスタマー サポート ポータル (CSP) でサードパーティ Idp オプションを有効にすると、アカウント メンバーは自分の会社の資格情報を使用してログインできます。

    サードパーティの Idp はドメイン レベルで設定されるため、メンバーは企業 SSO を使用して複数の CSP アカウントに所属し、ログインできます。 また、同じ設定を使用して他のパロアルトネットワークスアプリケーションにログインすることもできます。

     

    第三者IDプロバイダーとは何ですか?

    パロアルトネットワークスでは、お客様やパートナーが独自のIDプロバイダーを持ち込んで、パロアルトネットワークスのリソース(カスタマーサポートポータルなど)にアクセスすることができます。 ドメイン管理者(DA)アカウントは例外で、引き続きパロアルトネットワークスの認証情報を使用します。

     

    前提条件

    以下は、ドメインでサードパーティ Idp を有効にするための前提条件です。

    1. アカウントのサードパーティ Idp アクセスを構成するには、CSP のドメイン管理者 (DA) ロールが必要です。
    2. Palo Alto Networks が提供する SSO 構成の詳細を更新するには、ID プロバイダーの管理者アクセス権が必要です。
    3. 確認には、ドメイン管理者 (DA) 以外のアカウントが 1 つ必要です。
    4. 以下の URL がネットワークからアクセス可能であることを確認してください。場合によっては、IT/ネットワークチームと協力して、これらのURLをホワイトリストに登録する必要があります。

                      https://accounts.paloaltonetworks.com/

                      https://accounts.api.paloaltonetworks.com/

     

    3rd Party Identity Provider を有効にする

    1. サードパーティ Idp を有効にするには、CSP の [アカウントの詳細] ページに移動し、ドメインの [シングルサインオン設定の表示] をクリックします。
    2. このリンクをクリックすると、ID プロバイダーの詳細を入力できるポータルに移動します。以下のエラーメッセージが表示された場合は、上記の「前提条件」に記載されているURLがネットワークからアクセス可能かどうか、およびファイアウォールがこれらのURLをブロックしていないことを確認してください。
      リクエストの処理中にエラーが発生しました。ssoadmins@paloaltonetworks.com までご連絡ください
    3. IDプロバイダーの詳細をフォームに入力し、「保存」をクリックします。 これは設定を保存するだけで、 まだアクティブ化されていないことに注意してください。 ドメイン内のすべてのユーザーに対して ID プロバイダーを有効にする前に、SSO 設定をテストしてください。

    1. 設定を保存すると、ページの下部に Palo Alto Networks のサービス プロバイダ情報が表示されます。
    2. ページに表示されている Palo Alto Networks の情報で ID プロバイダーを更新します。 以下は、SAML設定に追加する詳細です。
      • NameId:
        • 値: 名前識別子で送信する電子メール アドレスを構成します
        • 形式: NameId 形式を "未指定" として構成します
      • 追加のSAML属性: 以下は、追加のSAML属性です
        • firstName: ユーザーの名
        • lastName: ユーザーの姓
    3. 重要: 「ID プロバイダーを有効にする」前に、SSO 設定をテストしてください。 SSO設定は、IDプロバイダーが開始するフローを使用してテストできます。 
      • シークレット ウィンドウを開き、ID プロバイダーの SSO サービス URL を入力します
      • 企業の資格情報を使用して ID プロバイダーにログインします
      • ログインに成功すると、IDプロバイダーはSAMLをPalo Alto Networks Service Providerに投稿します
      • セットアップに問題がある場合は、画面にエラーメッセージが表示されます
      • SSOハンドシェイクが成功すると、sso.paloaltonetworks.com のホームページに移動します
    4. SSOが正常に動作することを確認したら、「SSOを有効にする」ことができます。 これにより、ドメイン管理者を除く、その電子メールドメイン内のすべてのユーザーのIDプロバイダーが有効になります。 ドメイン管理者(DA)には、サポートケース/ユーザー管理に関するSSOの問題に対処するために、Idp SSOをバイパスする権限があります。

     

    SSOログインの確認

    IDプロバイダーを有効にすると、すべてのユーザー(ドメイン管理者を除く)はSSO経由でログインするように強制されます。 以下の手順に従って、エンドツーエンドのセットアップを確認できます

    新しいシークレット ブラウザー ウィンドウを開き、サポート ポータルの URL にアクセスします。

    • サインイン ページでメール アドレスを入力します (ドメイン管理者のメール アドレスではありません)
    • 認証のためにIdpログインページにリダイレクトされます
    • 認証後、カスタマーサポートポータルのホームページに移動します。
     

    Faq

    SSO設定ページにアクセスできないのはなぜですか?

    以下のエラーメッセージが表示された場合は、以下のURLがネットワーク上の許可リストに追加されているかどうか、およびファイアウォールがアクセスをブロックしていないことを確認してください。

         https://accounts.paloaltonetworks.com/

         https://accounts.api.paloaltonetworks.com/ メッセージ: リクエストの処理中にエラーが発生しました。お問い合わせください: ssoadmins@paloaltonetworks.com

    3rd Party Idp に切り替えると停止しますか?

    はい、ドメイン管理者が ID プロバイダーを構成してアクティブ化している間に、約 1 時間の停止が発生する可能性があります。 テストして慎重に行えば、停止は発生しません。

    移行後にSSOの問題が発生した場合、誰に連絡すればよいですか?

    問題がある場合は、https://support.paloaltonetworks.com で管理者ケースを開いてください。ログインできない場合は、「ヘルプが必要ですか?」オプションを選択します。

    サポートポータルでのユーザーの追加方法に、他に変更はありますか?

    いいえ. このプロセスに変更はありませんが、1 つの例外として、アカウント登録リンクを使用して、3rd パーティが有効なドメインを持つユーザーを追加することはできません。
    CSP とサードパーティの IDP プラットフォーム間のユーザー作成における JIT プロビジョニングと自動化は、現時点ではサポートされていません。 ユーザーは CSP に手動で追加する必要があります。

    ID プロバイダーが SAML 応答を拒否するのはなぜですか?

    NameID 形式は必ず "Unspecified" に設定してください。 サービスプロバイダーはSAMLリクエストに署名し、NameID形式を「Unspecified」として送信します。 この設定は、ID プロバイダーで構成されている内容と一致する必要があります。

    SSO IDP証明書の更新方法

    こちらの記事を参考にしてください https://paloaltonetworks.lightning.force.com/lightning/r/Knowledge__kav/ka14u000000XzEuAAK/view?ws=%2Flightning%2Fr%2FCase%2F5004u00002xNaUxAAK%2Fview


     


    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZ8mCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language