項目 |
内容 |
|
---|---|---|
事前確認 |
|
|
ネームID |
〇 |
メールアドレス |
カスタム属性 ※ カスタム属性の設定方法はこちら |
||
SP側の設定 |
〇 |
管理者様にて設定 |
SPへ設定を依頼 |
||
プロビジョニング |
APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可) |
|
SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可) |
||
〇 |
なし(各システムでアカウント作成) |
|
アクセス方法 |
〇 |
SP-Initiated SSO |
|
IdP-Initiated SSO |
|
デバイス別動作検証状況 |
〇 |
PC - ブラウザ |
〇 |
PC - デスクトップアプリ |
|
|
iOS - 標準ブラウザ (Safari) |
|
|
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
〇 |
iOS - ネイティブアプリ |
|
|
Android - 標準ブラウザ (Chrome) |
|
|
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
〇 |
Android - ネイティブアプリ |
Prisma AccessよりSAML設定情報を取得
Prisma Accessより以下の情報を取得します。
※ Prisma AccessはGPポータルとGPゲートウェイの2つの SPが存在するため、それぞれの SAML 情報を取得する必要があります。
エンティティID |
◆ GP ポータル |
サービスへのACS URL |
◆ GP ポータル |
ログアウトURL |
◆ GP ポータル |
【GPポータルおよびGPゲートウェイのFQDNの確認方法】
- 設定管理画面(Panorama WebUI)を開き、[PANORAMA]タブから[Cloud Service]>[状態]を選択します。
- [Network Details]タブから[Mobile Users - GlobalProtect]を選択します。
-
ポータルおよびゲートウェイに表示されているFQDNを確認します。
トラスト・ログインの管理ページの設定
-
【GPポータル用のSAMLアプリ登録】
トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
- 「企業アプリ登録」画面で検索し、「Prisma Access (GPポータル) (SAML) 」を選択します。
- 「IDプロバイダーの情報」の「メタデータをダウンロード」より、メタデータをダウンロードします。
- 「サービスプロバイダーの設定」の空欄3箇所にPrisma Access より取得した「GPポータルのFQDN」を入力します。
- 「登録」ボタンで保存します。
-
【GPゲートウェイ用のSAMLアプリ登録】
続いてGPゲートウェイ用SAMLアプリも同様に登録します。「管理ページ > アプリ」メニューに戻り、画面右上の「アプリ登録」ボタンを押します。
- 「企業アプリ登録」画面で検索し、「Prisma Access (GPゲートウェイ) (SAML)」を選択します。
- 「IDプロバイダーの情報」の「メタデータをダウンロード」より、メタデータをダウンロードします。
- 「サービスプロバイダーの設定」の空欄3箇所にPrisma Access より取得した「GPゲートウェイのFQDN」を入力します。GPゲートウェイのFQDNが複数ある場合は、エンティティID/ログアウトURLには優先のFQDNを、 ACS URLにはFQDNの数分設定します。
※ FQDNが3つ以上ある場合は、独自SAMLアプリの登録にてご対応ください。
- 「登録」ボタンで保存します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で「Prisma Access (GPポータル) (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
- 「Prisma Access (GPゲートウェイ) (SAML)」も同様に追加します。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで「Prisma Access (GPポータル) (SAML)」アプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
- 「Prisma Access (GPゲートウェイ) (SAML)」も同様に追加します。
Prisma Accessの設定
SAML IdP追加
- 設定管理画面を開き、[DEVICE]タブからテンプレート: [Mobile_User_Template]を選択します。
- [サーバープロファイル]>[SAMLアイデンティティプロバイダ]を選択、[インポート]をクリックします。
-
SAML IdPのインポート画面にてプロファイル名(名称は任意)を入力、[参照...]をクリックしてトラスト・ログインより取得したメタデータ(xmlファイル)を指定、[アイデンティティプロバイダ証明書の検証]をオフ、[OK]をクリックします。
-
3で追加したプロファイル名(GPポータル)をクリックします。
-
SAML IdPサーバープロファイル画面にて[アイデンティティプロバイダSLO URL]を以下に変更、[OK]をクリックします。
https://portal.trustlogin.com/users/sign_out
- [DEVICE]タブからテンプレート: [Mobile_User_Template]を選択します。
-
[証明書の管理]>[証明書]を選択、[デバイス証明書]タブにGPポータル用IdPのデバイス証明書が作成されていることを確認します。(名前: crt.(GPポータル用IdPプロファイル名).shared)
- 以上の手順で、GPゲートウェイのSAML IdPも同様に追加します。
認証プロファイルの追加
- [DEVICE]タブからテンプレート: [Mobile_User_Template]を選択します。
-
[認証プロファイル]を選択、[追加]をクリックします。
-
認証プロファイル画面にて名前を入力、[認証]タブのタイプに[SAML]を選択、他必要な情報を設定します。
-
[詳細]タブの許可リスト内の[追加]をクリックして「all」を選択、[OK]をクリックします。
- 以上の手順で、GPゲートウェイの認証プロファイルも同様に追加します。
SAML認証設定(GPポータル)
- [NETWORK]タブからテンプレート: [Mobile_User_Template]を選択します。
- [GlobalProtect]>[ポータル]を選択、GPポータル(GlobalProtect_Portal)をクリックします。
- GlobalProtectポータルの設定画面にて[認証]タブをクリック、クライアント認証の[追加]をクリックします。
-
クライアント認証画面にて名前を入力、認証プロファイルを選択、[OK]をクリックします。
-
GlobalProtectポータルの設定画面にて前頁4で作成したSAML認証設定を[上へ]クリックして、クライアント認証の最上位に移動します。
-
GlobalProtectポータルの設定画面にて[エージェント]タブをクリック、エージェントの「FENICS-DEFAULT」を選択して[コピー]をクリックします。
-
設定画面の[認証]タブにて[名前]を入力、認証オーバーライドの各設定のチェックオフを確認、[OK]をクリックします。
-
GlobalProtectポータルの設定画面から前頁7で作成したSAML認証用エージェント設定を[上へ]クリックしてエージェントの最上位に移動、[OK]をクリックします。
-
【注意事項】GPポータルのエージェント設定において、iOSのSAML認証ではGPクライアントの接続手段「Pre-logon」および「User-logon」はサポート対象外です。
-
iOSを使用する場合、OS共通とは別のiOS用エージェント設定(iOS指定)を作成してGPクライアントの接続手段を「On-Demand」に変更します。iOS用エージェント設定を利用する際には、エージェント設定の一覧から「OS: any」のエージェント設定よりも上位に移動するようにしてください。
-
【注意事項】SAML認証を行うWebブラウザーの選択についてGlobalProtectがSAML認証を行うブラウザーはデフォルトブラウザーを推奨します。
ビルトインブラウザーで保持されるCookieは明示的に削除するのが困難です。このため、2度目の認証時にSAML IdPに有効なセッションが残っていると、認証画面を経由せず、そのまま接続できてしまいます。認証画面を明示的に再表示させたいのであれば、セッションが切れるまで待つか、クライアントを再起動するか、SAML IdP側でセッションを削除する操作が必要です。
詳細については下記をご参照ください。
注意点1: SAML認証を行うWebブラウザーの選択 (paloaltonetworks.com)
-
【注意事項】GPポータルのエージェント設定において、iOSのSAML認証ではGPクライアントの接続手段「Pre-logon」および「User-logon」はサポート対象外です。
SAML認証設定(GPゲートウェイ)
- [NETWORK]タブからテンプレート: [Mobile_User_Template]を選択します。
-
[GlobalProtect]>[ゲートウェイ]を選択、GPゲートウェイ(GlobalProtect_External_Gateway)をクリックします。
- GlobalProtectゲートウェイ設定画面にて[認証]タブをクリック、クライアント認証の[追加]をクリックします。
-
クライアント認証画面にて名前を入力、認証プロファイルを選択、[OK]をクリックします。
-
GlobalProtectゲートウェイ設定画面にて前頁4で作成したSAML認証設定を[上へ]クリックして、クライアント認証の最上位に移動します。
-
GlobalProtectゲートウェイ設定画面にて[エージェント]タブをクリック、[クライアントの設定]タブにてエージェントの「FENICS-DEFAULT」を選択して[コピー]をクリックします。
-
設定画面の[設定の選択条件]タブにて[名前]を入力します。
-
設定画面の[認証オーバーライド]タブにて各設定のチェックオフを確認して[OK]をクリックします。
-
GlobalProtectゲートウェイ設定画面から前頁7、8で作成したSAML認証用エージェント設定を[上へ]クリックしてエージェントの最上位に移動、[OK]をクリックします。