異なる SAML IdP プロバイダーを使用するように管理者アカウントをコンフィグ方法
7109
Created On 02/15/23 16:14 PM - Last Modified 01/07/25 05:22 AM
Objective
- 各 SAML IdP プロバイダーの SAML認証プロファイルを構成します。
- 各管理者アカウントを選択した SAML認証プロファイルに関連付けます。
- これにより、割り当てられた SAML IdP ベンダーを使用して各管理者が認証されるようになります。
Environment
- Palo Alto ファイアウォールまたは Panorama
- サポートされているPAN-OS
- SAML IdPサーバ プロファイル
- 認証プロファイル
Procedure
- 各 SAML アイデンティティ プロバイダー (IdP) について、 Panorama 管理者ガイドまたはファイアウォール管理者ガイドの手順 1 ~ 3に従います。
- 以下の手順に従って、ファイアウォール/Panorama に管理者アカウントを作成します。
- [デバイス/パノラマ] > [管理者]を選択し、管理者を追加します。
- 管理者を識別するための名前を入力します。(この名前は、SAML応答で IdP から返されるユーザー名と一致する必要があり、特殊文字@を含めることはできません。ユーザー名を「domain\ ユーザー名」または「ユーザー名」形式で送信するように IdP 属性を構成します)
- 前の手順で設定した対応する認証プロファイルを選択します。
- 管理者タイプとそれぞれの管理者ロールを選択します。
- [Ok] をクリックして、管理者アカウントを保存します。
- [コミット] > [コミット] / [Panorama にコミット]を選択して、ファイアウォール/Panorama の変更をアクティベート、ステップ 2で SAML IdP サーバー プロファイルに割り当てられたID プロバイダー証明書を検証します。
- Panorama 管理者ガイドまたはファイアウォール管理者ガイドの手順 6に記載されているように、管理者が SAML SSO を使用して認証できることを確認します。
- ファイアウォール/Panorama は、この管理者に割り当てられた IdP に認証するようにリダイレクトし、SAMLログインページを表示します。
- SSOユーザー名とパスワードを使用してログインします。
- IdP で認証に成功すると、ファイアウォール/Panorama にリダイレクトされ、 Webインターフェイスが表示されます。
Additional Information
- 管理者は SAML を使用してファイアウォール/Panorama Webインターフェイスに対して認証できますが、 CLIに対しては認証できません。
- デフォルトの認証プロファイルはファイアウォール/パノラマで設定できます。これにより、入力されたSSOアカウントが有効なファイアウォール/パノラマ管理者でない場合に、ファイアウォール/パノラマは特定の IdP にリダイレクトされます。
- [デバイス/パノラマ] > [セットアップ] > [管理]を選択し、認証設定を編集して、以前に構成した認証プロファイルの 1 つを選択します。
- [コミット] > [コミット/パノラマにコミット]を選択します。