Prisma Access のSAML認証の設定方法

 項目

内容 

事前確認

  • Prisma Access にて事前の設定が必要です。

  • 最新の設定手順は、Prisma Access からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

 

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

 

iOS - 標準ブラウザ (Safari)

 

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

 

Android - 標準ブラウザ (Chrome)

 

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

Prisma AccessよりSAML設定情報を取得

Prisma Accessより以下の情報を取得します。
※ Prisma AccessはGPポータルとGPゲートウェイの2つの SPが存在するため、それぞれの SAML 情報を取得する必要があります。

エンティティID

GP ポータル
https://{GP ポ ー タ ル の FQDN}:443/SAML20/SP

GP ゲートウェイ
https://{GP ゲートウェイの FQDN}:443/SAML20/SP

サービスへのACS URL

GP ポータル
https://{GP ポ ー タ ル の FQDN}:443/SAML20/SP/ACS

GP ゲートウェイ
https://{GP ゲートウェイの FQDN}:443/SAML20/SP/ACS

ログアウトURL

GP ポータル
https://{GP ポ ー タ ル の FQDN}:443/SAML20/SP/SLO

GP ゲートウェイ
https://{GP ゲートウェイの FQDN}:443/SAML20/SP/SLO

 
【GPポータルおよびGPゲートウェイのFQDNの確認方法】

  1. 設定管理画面(Panorama WebUI)を開き、[PANORAMA]タブから[Cloud Service]>[状態]を選択します。
  2. [Network Details]タブから[Mobile Users - GlobalProtect]を選択します。
  3. ポータルおよびゲートウェイに表示されているFQDNを確認します。
    FQDN.png

トラスト・ログインの管理ページの設定

  1. 【GPポータル用のSAMLアプリ登録】
    トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Prisma Access (GPポータル) (SAML) 」を選択します。
    02.png

  3. 「IDプロバイダーの情報」の「メタデータをダウンロード」より、メタデータをダウンロードします。
    03.png

  4. 「サービスプロバイダーの設定」の空欄3箇所にPrisma Access より取得した「GPポータルのFQDN」を入力します。
    04.png

  5. 「登録」ボタンで保存します。

  6. 【GPゲートウェイ用のSAMLアプリ登録】
    続いてGPゲートウェイ用SAMLアプリも同様に登録します。「管理ページ > アプリ」メニューに戻り、画面右上の「アプリ登録」ボタンを押します。
    01.png

  7. 「企業アプリ登録」画面で検索し、「Prisma Access (GPゲートウェイ) (SAML)」を選択します。
    05.png

  8. 「IDプロバイダーの情報」の「メタデータをダウンロード」より、メタデータをダウンロードします。03.png

  9. 「サービスプロバイダーの設定」の空欄3箇所にPrisma Access より取得した「GPゲートウェイのFQDN」を入力します。GPゲートウェイのFQDNが複数ある場合は、エンティティID/ログアウトURLには優先のFQDNを、 ACS URLにはFQDNの数分設定します。
    ※ FQDNが3つ以上ある場合は、独自SAMLアプリの登録にてご対応ください。
    06.png

  10. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Prisma Access (GPポータル) (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「Prisma Access (GPゲートウェイ) (SAML)」も同様に追加します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Prisma Access (GPポータル) (SAML)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
  3. 「Prisma Access (GPゲートウェイ) (SAML)」も同様に追加します。

 

Prisma Accessの設定

SAML IdP追加

  1. 設定管理画面を開き、[DEVICE]タブからテンプレート: [Mobile_User_Template]を選択​します。
  2. [サーバープロファイル]>[SAMLアイデンティティプロバイダ]を選択、[インポート]をクリック​します。
  3. SAML IdPのインポート画面にてプロファイル名(名称は任意)を入力、[参照...]をクリックしてトラスト・ログインより取得したメタデータ(xmlファイル)を指定、[アイデンティティプロバイダ証明書の検証]をオフ、[OK]をクリックします。
    07.png

  4. 3で追加したプロファイル名(GPポータル)をクリックします。

  5. SAML IdPサーバープロファイル画面にて[アイデンティティプロバイダSLO URL]を以下に変更、[OK]をクリックします。
    https://portal.trustlogin.com/users/sign_out

    08.png

  6. [DEVICE]タブからテンプレート: [Mobile_User_Template]を選択​します。
  7. [証明書の管理]>[証明書]を選択、[デバイス証明書]タブにGPポータル用IdPのデバイス証明書が作成されていることを確認します。(名前: crt.(GPポータル用IdPプロファイル名).shared)

    09.png

  8. 以上の手順で、GPゲートウェイのSAML IdPも同様に追加します。

認証プロファイルの追加

  1. [DEVICE]タブからテンプレート: [Mobile_User_Template]を選択します。
  2. [認証プロファイル]を選択、[追加]をクリックします。

    10.png
  3. 認証プロファイル画面にて名前を入力、[認証]タブのタイプに[SAML]を選択、他必要な情報を設定します。

  4. [詳細]タブの許可リスト内の[追加]をクリックして「all」を選択、[OK]をクリック​します。

    11.png

  5. 以上の手順で、GPゲートウェイの認証プロファイルも同様に追加します。

SAML認証設定(GPポータル)

  1. [NETWORK]タブからテンプレート: [Mobile_User_Template]を選択します。
  2. [GlobalProtect][ポータル]を選択、GPポータル(GlobalProtect_Portal)をクリック​します。

    12.png

  3. GlobalProtectポータルの設定画面にて[認証]タブをクリック、クライアント認証の[追加]をクリック​します。
  4. クライアント認証画面にて名前を入力、認証プロファイルを選択、[OK]をクリックします。

    13.png

  5. GlobalProtectポータルの設定画面にて前頁4で作成したSAML認証設定を[上へ]クリックして、クライアント認証の最上位に移動します。
    14.png

  6. GlobalProtectポータルの設定画面にて[エージェント]タブをクリック、エージェントの「FENICS-DEFAULT」を選択して[コピー]をクリックします。

  7. 設定画面の[認証]タブにて[名前]を入力、認証オーバーライドの各設定のチェックオフを確認、[OK]をクリックします。

    15.png

  8. GlobalProtectポータルの設定画面から前頁7で作成したSAML認証用エージェント設定を[上へ]クリックしてエージェントの最上位に移動、[OK]をクリックします。
    16.png

    • 注意事項】GPポータルのエージェント設定において、iOSSAML認証ではGPクライアントの接続手段「Pre-logon」および「User-logon」はサポート対象外です。
    • iOSを使用する場合、OS共通とは別のiOS用エージェント設定(iOS指定)を作成してGPクライアントの接続手段を「On-Demand」に変更します。iOS用エージェント設定を利用する際には、エージェント設定の一覧から「OS: any」のエージェント設定よりも上位に移動するようにしてください。

      17.png
    • 注意事項】SAML認証を行うWebブラウザーの選択についてGlobalProtectがSAML認証を行うブラウザーはデフォルトブラウザーを推奨します。

      図2. App Configuration の設定内容。「Use Default Browser for SAML Authentication」で「Yes」または「No」を選択
      ビルトインブラウザーで保持されるCookieは明示的に削除するのが困難です。このため、2度目の認証時にSAML IdPに有効なセッションが残っていると、認証画面を経由せず、そのまま接続できてしまいます。認証画面を明示的に再表示させたいのであれば、セッションが切れるまで待つか、クライアントを再起動するか、SAML IdP側でセッションを削除する操作が必要です。
      詳細については下記をご参照ください。
      注意点1: SAML認証を行うWebブラウザーの選択 (paloaltonetworks.com)

SAML認証設定(GPゲートウェイ)

  1. [NETWORK]タブからテンプレート: [Mobile_User_Template]を選択します。
  2. [GlobalProtect][ゲートウェイ]を選択、GPゲートウェイ(GlobalProtect_External_Gateway)クリックします。

    18.png

  3. GlobalProtectゲートウェイ設定画面にて[認証]タブをクリック、クライアント認証の[追加]をクリック​します。
  4. クライアント認証画面にて名前を入力、認証プロファイルを選択、[OK]をクリック​します。

    19.png

  5. GlobalProtectゲートウェイ設定画面にて前頁4で作成したSAML認証設定を[上へ]クリックして、クライアント認証の最上位に移動します。
    20.png

  6. GlobalProtectゲートウェイ設定画面にて[エージェント]タブをクリック、[クライアントの設定]タブにてエージェントの「FENICS-DEFAULT」を選択して[コピー]をクリックします。

  7. 設定画面の[設定の選択条件]タブにて[名前]を入力​します。

  8. 設定画面の[認証オーバーライド]タブにて各設定のチェックオフを確認して[OK]をクリック​します。
    21.png

  9. GlobalProtectゲートウェイ設定画面から前頁7、8で作成したSAML認証用エージェント設定を[上へ]クリックしてエージェントの最上位に移動、[OK]をクリックします。
    22.png

 

Prisma Access のSAML認証の設定方法

 項目

内容 

事前確認

  • Prisma Access にて事前の設定が必要です。

  • 最新の設定手順は、Prisma Access からご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

 

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

 

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

 

iOS - 標準ブラウザ (Safari)

 

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

 

Android - 標準ブラウザ (Chrome)

 

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

Prisma AccessよりSAML設定情報を取得

Prisma Accessより以下の情報を取得します。
※ Prisma AccessはGPポータルとGPゲートウェイの2つの SPが存在するため、それぞれの SAML 情報を取得する必要があります。

エンティティID

GP ポータル
https://{GP ポ ー タ ル の FQDN}:443/SAML20/SP

GP ゲートウェイ
https://{GP ゲートウェイの FQDN}:443/SAML20/SP

サービスへのACS URL

GP ポータル
https://{GP ポ ー タ ル の FQDN}:443/SAML20/SP/ACS

GP ゲートウェイ
https://{GP ゲートウェイの FQDN}:443/SAML20/SP/ACS

ログアウトURL

GP ポータル
https://{GP ポ ー タ ル の FQDN}:443/SAML20/SP/SLO

GP ゲートウェイ
https://{GP ゲートウェイの FQDN}:443/SAML20/SP/SLO

 
【GPポータルおよびGPゲートウェイのFQDNの確認方法】

  1. 設定管理画面(Panorama WebUI)を開き、[PANORAMA]タブから[Cloud Service]>[状態]を選択します。
  2. [Network Details]タブから[Mobile Users - GlobalProtect]を選択します。
  3. ポータルおよびゲートウェイに表示されているFQDNを確認します。
    FQDN.png

トラスト・ログインの管理ページの設定

  1. 【GPポータル用のSAMLアプリ登録】
    トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「Prisma Access (GPポータル) (SAML) 」を選択します。
    02.png

  3. 「IDプロバイダーの情報」の「メタデータをダウンロード」より、メタデータをダウンロードします。
    03.png

  4. 「サービスプロバイダーの設定」の空欄3箇所にPrisma Access より取得した「GPポータルのFQDN」を入力します。
    04.png

  5. 「登録」ボタンで保存します。

  6. 【GPゲートウェイ用のSAMLアプリ登録】
    続いてGPゲートウェイ用SAMLアプリも同様に登録します。「管理ページ > アプリ」メニューに戻り、画面右上の「アプリ登録」ボタンを押します。
    01.png

  7. 「企業アプリ登録」画面で検索し、「Prisma Access (GPゲートウェイ) (SAML)」を選択します。
    05.png

  8. 「IDプロバイダーの情報」の「メタデータをダウンロード」より、メタデータをダウンロードします。03.png

  9. 「サービスプロバイダーの設定」の空欄3箇所にPrisma Access より取得した「GPゲートウェイのFQDN」を入力します。GPゲートウェイのFQDNが複数ある場合は、エンティティID/ログアウトURLには優先のFQDNを、 ACS URLにはFQDNの数分設定します。
    ※ FQDNが3つ以上ある場合は、独自SAMLアプリの登録にてご対応ください。
    06.png

  10. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「Prisma Access (GPポータル) (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「Prisma Access (GPゲートウェイ) (SAML)」も同様に追加します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「Prisma Access (GPポータル) (SAML)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。
  3. 「Prisma Access (GPゲートウェイ) (SAML)」も同様に追加します。

 

Prisma Accessの設定

SAML IdP追加

  1. 設定管理画面を開き、[DEVICE]タブからテンプレート: [Mobile_User_Template]を選択​します。
  2. [サーバープロファイル]>[SAMLアイデンティティプロバイダ]を選択、[インポート]をクリック​します。
  3. SAML IdPのインポート画面にてプロファイル名(名称は任意)を入力、[参照...]をクリックしてトラスト・ログインより取得したメタデータ(xmlファイル)を指定、[アイデンティティプロバイダ証明書の検証]をオフ、[OK]をクリックします。
    07.png

  4. 3で追加したプロファイル名(GPポータル)をクリックします。

  5. SAML IdPサーバープロファイル画面にて[アイデンティティプロバイダSLO URL]を以下に変更、[OK]をクリックします。
    https://portal.trustlogin.com/users/sign_out

    08.png

  6. [DEVICE]タブからテンプレート: [Mobile_User_Template]を選択​します。
  7. [証明書の管理]>[証明書]を選択、[デバイス証明書]タブにGPポータル用IdPのデバイス証明書が作成されていることを確認します。(名前: crt.(GPポータル用IdPプロファイル名).shared)

    09.png

  8. 以上の手順で、GPゲートウェイのSAML IdPも同様に追加します。

認証プロファイルの追加

  1. [DEVICE]タブからテンプレート: [Mobile_User_Template]を選択します。
  2. [認証プロファイル]を選択、[追加]をクリックします。

    10.png
  3. 認証プロファイル画面にて名前を入力、[認証]タブのタイプに[SAML]を選択、他必要な情報を設定します。

  4. [詳細]タブの許可リスト内の[追加]をクリックして「all」を選択、[OK]をクリック​します。

    11.png

  5. 以上の手順で、GPゲートウェイの認証プロファイルも同様に追加します。

SAML認証設定(GPポータル)

  1. [NETWORK]タブからテンプレート: [Mobile_User_Template]を選択します。
  2. [GlobalProtect][ポータル]を選択、GPポータル(GlobalProtect_Portal)をクリック​します。

    12.png

  3. GlobalProtectポータルの設定画面にて[認証]タブをクリック、クライアント認証の[追加]をクリック​します。
  4. クライアント認証画面にて名前を入力、認証プロファイルを選択、[OK]をクリックします。

    13.png

  5. GlobalProtectポータルの設定画面にて前頁4で作成したSAML認証設定を[上へ]クリックして、クライアント認証の最上位に移動します。
    14.png

  6. GlobalProtectポータルの設定画面にて[エージェント]タブをクリック、エージェントの「FENICS-DEFAULT」を選択して[コピー]をクリックします。

  7. 設定画面の[認証]タブにて[名前]を入力、認証オーバーライドの各設定のチェックオフを確認、[OK]をクリックします。

    15.png

  8. GlobalProtectポータルの設定画面から前頁7で作成したSAML認証用エージェント設定を[上へ]クリックしてエージェントの最上位に移動、[OK]をクリックします。
    16.png

    • 注意事項】GPポータルのエージェント設定において、iOSSAML認証ではGPクライアントの接続手段「Pre-logon」および「User-logon」はサポート対象外です。
    • iOSを使用する場合、OS共通とは別のiOS用エージェント設定(iOS指定)を作成してGPクライアントの接続手段を「On-Demand」に変更します。iOS用エージェント設定を利用する際には、エージェント設定の一覧から「OS: any」のエージェント設定よりも上位に移動するようにしてください。

      17.png
    • 注意事項】SAML認証を行うWebブラウザーの選択についてGlobalProtectがSAML認証を行うブラウザーはデフォルトブラウザーを推奨します。

      図2. App Configuration の設定内容。「Use Default Browser for SAML Authentication」で「Yes」または「No」を選択
      ビルトインブラウザーで保持されるCookieは明示的に削除するのが困難です。このため、2度目の認証時にSAML IdPに有効なセッションが残っていると、認証画面を経由せず、そのまま接続できてしまいます。認証画面を明示的に再表示させたいのであれば、セッションが切れるまで待つか、クライアントを再起動するか、SAML IdP側でセッションを削除する操作が必要です。
      詳細については下記をご参照ください。
      注意点1: SAML認証を行うWebブラウザーの選択 (paloaltonetworks.com)

SAML認証設定(GPゲートウェイ)

  1. [NETWORK]タブからテンプレート: [Mobile_User_Template]を選択します。
  2. [GlobalProtect][ゲートウェイ]を選択、GPゲートウェイ(GlobalProtect_External_Gateway)クリックします。

    18.png

  3. GlobalProtectゲートウェイ設定画面にて[認証]タブをクリック、クライアント認証の[追加]をクリック​します。
  4. クライアント認証画面にて名前を入力、認証プロファイルを選択、[OK]をクリック​します。

    19.png

  5. GlobalProtectゲートウェイ設定画面にて前頁4で作成したSAML認証設定を[上へ]クリックして、クライアント認証の最上位に移動します。
    20.png

  6. GlobalProtectゲートウェイ設定画面にて[エージェント]タブをクリック、[クライアントの設定]タブにてエージェントの「FENICS-DEFAULT」を選択して[コピー]をクリックします。

  7. 設定画面の[設定の選択条件]タブにて[名前]を入力​します。

  8. 設定画面の[認証オーバーライド]タブにて各設定のチェックオフを確認して[OK]をクリック​します。
    21.png

  9. GlobalProtectゲートウェイ設定画面から前頁7、8で作成したSAML認証用エージェント設定を[上へ]クリックしてエージェントの最上位に移動、[OK]をクリックします。
    22.png