Prisma Access

【参考】

2020年09月01日時点での情報で掲載しています。

「Panorama」との認証連携を設定します。

【注意】

本手順はPanoramaで管理されている環境にでの手順です。
本手順にはSAML連携に関連しない項目については記載していません。
Prisma AccessがSAML認証可能なバージョンなどの制約については販売元にお問合わせください。
Prisma Access、Panoramaなどの環境はNTPなどを活用し、時刻がずれないように運用してください。
Prisma AccessがSAMLで認証するキーは「ユーザID」です。
IIJ IDサービス内の各ユーザ共通のユーザ属性にPrisma Accessの「ユーザID」と同一の値を保持しておく必要があります。

1. IIJ IDサービスにSAMLアプリケーションを登録する

1. 「アプリケーション」の「アプリケーションの管理」をクリックします。

2. 「アプリケーションを追加する」をクリックし、「カスタムアプリケーションを追加する」をクリックします。

3. 「SAMLアプリケーション」を選択し、「次に進む」をクリックします。

4. アプリケーション情報を入力し、「アプリケーションを追加する」をクリックします。

項目	内容	備考
アプリケーション名	例）Prisma Access（Portal-FQDN）	必須 Portal-FQDNの箇所は、実環境に合わせて書き換えてください
アプリケーションの説明	例）クラウド提供型ネットワークセキュリティのリーダー	任意
アプリケーションロゴ	（ファイルアップロード）	任意
IDプロバイダの選択	「システムで共通のエンティティIDを利用」を選択	必須

2. IIJ IDサービスのIDプロバイダ情報を確認する

1. 作成されたアプリケーションの「編集する」をクリックします。

2. 「IDプロバイダ情報」をクリックします。

3.「ダウンロードする」をクリックし、IDプロバイダのメタデータをダウンロードします。

3. Prisma AccessにIDプロバイダ情報を登録する

1. Panoramaの管理者コンソールに管理者としてログインします。

2. 上部タブの「Device」をクリックします。

3. 左ペインより「Server Profiles」の「SAML Identity Provider」をクリックします。

4. 右ペインの下部の「Import」をクリックします。

5. 以下のとおり設定し、「OK」をクリックします。

項目	内容	備考
Profile Name	例）IIJID_Profile	任意の文字列
Shared	（チェックを付ける）
Administrator Use Only	（チェックを外す）
Identity Provider Metadata	手順2-3でダウンロードしたIDプロバイダのメタデータをアップロード
Validate Identity Provider Certificate	チェックを外す
Validate Metadata Signature	チェックを外す
Maximum Clock Skew (sec)	60	Prisma Access/Panorama側の時刻が大きくズレる可能性がある場合には、この値を大きくしてください

6. 作成したSAML Identity Provider（例: IIJID_Profile）を編集し、SLOに以下のURLを記述します。「OK」をクリックします。

項目	内容
Identity Provider SLO URL	https://www.auth.iij.jp/op/end_session?prompt=none

7. 左ペインより、「Authentication Profile」をクリックします。

8. 右ペインの下部の「Add」をクリックします。

9. 以下のとおり設定し、「Advanced」のタブをクリックします。

項目	内容	備考
Name	例）SAML_Profile	任意の文字列
Shared	チェックを付ける
Type	「SAML」を選択
Identity Provider Metadata	手順3-5の「Profile Name」で入力した文字列を選択
Certificate for Signing Requests	「None」を選択
Enable Single Logout	チェックを外す
Certificate Profile	「None」を選択
Username Attribute	username
User Group Attribute	（空欄）
Admin Role Attribute	（空欄）
Access Domain Attribute	（空欄）

10. 「Add」をクリックし、対象アカウントを選択します。「OK」をクリックします。

11. 上部タブの「Network」をクリックします。

12. 左ペインの「GlobalProtect」の「Portals」をクリックします。

13. 右ペイン上部の一覧から「GlobalProtect Portal」をクリックします。

【参考】

オブジェクトが存在しない場合は、右ペインの下部の「Add」をクリックします。

14. 「General」タブにてご利用の環境に合わせて設定し、「Authentication」タブをクリックします。

15. 「Client Authentication」の「Add」をクリックします。

16. 以下のとおり設定し、「OK」をクリックします。

項目	内容	備考
Name	例）GP_Portal_SAML_Auth	任意の文字列
OS	任意	対象となるOSを選択してください
Authentication Profile	手順3-9の「Name」で入力した文字列を選択
Username Label	Username	任意の文字列デフォルト値をそのまま使用することもできます
Password Label	Password	任意の文字列デフォルト値をそのまま使用することもできます
Authentication Message	例）Login through IIJ ID	任意の文字列デフォルト値をそのまま使用することもできます

17. その他のタブについては、ご利用の環境に合わせて設定し、「OK」をクリックします。

18. 左ペインの「GlobalProtect」の「Gateways」をクリックします。

19. 右ペイン上部の一覧から「GlobalProtect Portal」をクリックします。

【参考】

オブジェクトが存在しない場合は、右ペインの下部の「Add」をクリックします。

20. 「General」タブにてご利用の環境に合わせて設定し、「Authentication」タブをクリックします。

21. 「Client Authentication」の「Add」をクリックします。

22. 以下のとおり設定し、「OK」をクリックします。

項目	内容	備考
Name	例）GP_Portal_SAML_Auth	任意の文字列
OS	任意	対象となるOSを選択してください
Authentication Profile	手順3-9の「Name」で入力した文字列を選択
Username Label	Username	任意の文字列デフォルト値をそのまま使用することもできます
Password Label	Password	任意の文字列デフォルト値をそのまま使用することもできます
Authentication Message	例）Login through IIJ ID	任意の文字列デフォルト値をそのまま使用することもできます

23. その他のタブについては、ご利用の環境に合わせて設定し、「OK」をクリックします。

24. 右上部にあるメニューから「Commit」の「Commit to Panorama」をクリックします。

25. 「Commit All Changes」を選択し、「Commit」をクリックします。

26. 内容を確認し、「Close」をクリックします。

27. 右上部にあるメニューから「Commit」の「Push to Devices」をクリックします。

28. 「Edit Selections」をクリックします。

29. 「Prisma Access」のタブをクリックします。

30. すべての項目にチェックを入れ、「OK」をクリックします。

31. 「Close」をクリックします。

【参考】

「Push to Devices」の処理には時間がかかります。上部にあるタブより「Panorama」をクリックし、左ペインの「Cloud Services」から「Status」をクリックすると反映状況が確認できます。
すべてのConfig Statusが「OK」になるまで確認してください。

処理中のステータスの画面

処理完了のステータスの画面

4. IIJ IDサービスのSAMLアプリケーションを設定する

1. 「アプリケーション」の「アプリケーションの管理」をクリックします。

2.アプリケーションの「編集する」をクリックします。

3. 「フェデレーション設定」をクリックします。

4. 以下のとおり設定し、「変更を適用する」をクリックします。

項目		内容		備考
SAML基本情報	SAML情報を入力する	「SAML情報を入力する」をチェック
	シングルサインオンURL	https://<Portal-FQDN>:443/SAML20/SP/ACS		「Portal-FQDN」は、実環境に合わせて書き換えます
	エンティティ ID	https://<Portal-FQDN>:443/SAML20/SP		「Portal-FQDN」は、実環境に合わせて書き換えます
	NameIDフォーマット	urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
	検証後の遷移先(RelayState)	（空欄）
	アプリケーションのトップページURL	（空欄）
	アサーションの署名アルゴリズム	例） RSA-SHA256
ユーザ識別子(NameID)の指定	関連付けるユーザ属性	例） Entitlements タイプと一致する値を使用するタイプ: Prisma_Access_ID		Prisma Accessの「User ID」の値が格納されている属性を指定します
属性値関連付け（ユーザ属性）		username	例）Entitlements タイプと一致する値を使用するタイプ: Prisma_Access_ID	Prisma Accessの「User ID」の値が格納されている属性を指定します

【参考】

「アサーションの署名アルゴリズム」は連携先サービス側で指定などがない場合、デフォルト値の「RSA-SHA256」を選択してください。

「RSA-SHA256」を指定して動作しない場合及び連携先サービス側で明示的にそれ以外のものが指定されている場合は、「RSA-SHA512」、または「RSA-SHA1」に変更し、連携を確認してください。

【参考】

「ユーザ識別子(NameID)」の指定は、ユーザ単位ではなくSAMLアプリケーション単位でのみ設定できます。
「ユーザ識別子(NameID)」の指定した属性にユーザが値を保持していない場合は SAML連携は失敗します。
「ユーザ識別子(NameID)」にID以外の複数の値を持つ属性で指定する方法は以下のとおりです。
例として、IIJ IDサービスの各ユーザの属性「Entitlements」に以下のように値が設定されています。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro」の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_ID」を指定します。

【注意】

「ユーザ識別子(NameID)」としてID以外の属性を指定していると、IIJ IDサービスに対する更新処理でその属性の値が更新される場合があります。ただし、その更新は連携先サービスまで伝搬されないため、IIJ IDサービス側の属性の値が更新されると、連携していたアカウントに接続できなくなります。「ユーザ識別子(NameID)」としている属性の値が更新される場合は、連携先サービス側で紐づく属性（多くの場合、ユーザID）を忘れずに更新してください。
以下の画像のように複数のタイプに「SaaS_ID」が設定されている場合、「ユーザ識別子(NameID)」に「SaaS_ID」を指定すると、サービスマニュアルに記載されているルールに基づいていずれかの単数値だけが採用されます。連携対象のサービスに管理者の意図しないアカウントがSAML連携される危険性があります。対象となる各ユーザにおいて、「ユーザ識別子(NameID)」として指定するタイプが複数個存在しないように注意してください。

【参考】

「属性値関連付け（ユーザ属性）」は、ユーザ単位ではなくSAMLアプリケーション単位でのみ設定できます。
「属性値関連付け（ユーザ属性）」で複数値を持つ属性での指定する方法は以下のとおりです。
例として、IIJ IDサービスの各ユーザの属性「Entitlements」に以下のように値が設定されています。
- 連携先サービス側に「属性値関連付け（ユーザ属性）」として属性名が「hogehoge1」、渡したい値が「abc」の場合は、「プライマリの値を使用する」をチェックします。
- 連携先サービス側に「属性値関連付け（ユーザ属性）」として属性名が「hogehoge1」、渡したい値が「1234」の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_Attr1」を指定します。
- 連携先サービス側に「属性値関連付け（ユーザ属性）」として属性名が「hogehoge1」、渡したい値が「multi1」、「multi2」のように複数の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_MultiAttr1」を指定します。

5. 「利用者設定」をクリックします。

6. 「利用者を追加する」をクリックし、アプリケーションにシングルサインオンさせたいグループ及びユーザを指定します。

【参考】

利用者に登録していないユーザにもこのアプリケーションを利用させたい場合は、「アプリケーションへのログイン」の「編集」をクリックしします。

「利用者でないユーザも、アプリケーションへのログインを許可する」を選択し、「変更を適用する」をクリックします。

5. 各 Cloud Gateway 毎のセットアップをする

1. Prisma AccessにてCloud Gatewayを利用している場合は、Cloud GatewayのシングルサインオンURLをすべて確認します。

https://<Cloud-Gateway-1-FQDN>:443
https://<Cloud-Gateway-2-FQDN>:443
・
・
・

2. 各Cloud Gatewayごとに手順1、手順2、及び手順4の作業を繰り返します。

【参考】

手順1-4は以下のように設定します。

項目	内容	備考
アプリケーション名	例）Prisma Access（Cloud-Gateway-1-FQDN）	必須「Cloud-Gateway-1-FQDN」は、実環境に合わせて書き換えます
アプリケーションの説明	例）クラウド提供型ネットワークセキュリティのリーダー	任意
アプリケーションロゴ	（ファイルアップロード）	任意
IDプロバイダの選択	「システムで共通のエンティティIDを利用」を選択	必須

手順4-4は以下のように設定します。

項目		内容		備考
SAML基本情報	SAML情報を入力する	「SAML情報を入力する」をチェック
	シングルサインオンURL	https://<Cloud-Gateway-1-FQDN>:443/SAML20/SP/ACS		「Cloud-Gateway-1-FQDN」は、実環境に合わせて書き換えます
	エンティティ ID	https://<Cloud-Gateway-1-FQDN>:443/SAML20/SP		「Cloud-Gateway-1-FQDN」は、実環境に合わせて書き換えます
	NameIDフォーマット	urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
	検証後の遷移先(RelayState)	（空欄）
	アプリケーションのトップページURL	（空欄）
	アサーションの署名アルゴリズム	例） RSA-SHA256
ユーザ識別子(NameID)の指定	関連付けるユーザ属性	例） Entitlements タイプと一致する値を使用するタイプ: Prisma_Access_ID		Prisma Accessの「User ID」の値が格納されている属性を指定します
属性値関連付け（ユーザ属性）		username	例）Entitlements タイプと一致する値を使用するタイプ: Prisma_Access_ID	Prisma Accessの「User ID」の値が格納されている属性を指定します

Prisma Access

【参考】

【注意】

1. IIJ IDサービスにSAMLアプリケーションを登録する

1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。

2. 「アプリケーションを追加する」をクリックし、「カスタムアプリケーションを追加する」をクリックします。

3. 「SAMLアプリケーション」を選択し、「次に進む」をクリックします。

4. アプリケーション情報を入力し、「アプリケーションを追加する」をクリックします。

2. IIJ IDサービスのIDプロバイダ情報を確認する

1. 作成されたアプリケーションの「編集する」をクリックします。

2. 「IDプロバイダ情報」をクリックします。

3.「ダウンロードする」をクリックし、IDプロバイダのメタデータをダウンロードします。

3. Prisma AccessにIDプロバイダ情報を登録する

1. Panoramaの管理者コンソールに管理者としてログインします。

2. 上部タブの「Device」をクリックします。

3. 左ペインより「Server Profiles」の「SAML Identity Provider」をクリックします。

4. 右ペインの下部の「Import」をクリックします。

5. 以下のとおり設定し、「OK」をクリックします。

6. 作成したSAML Identity Provider（例: IIJID_Profile）を編集し、SLOに以下のURLを記述します。「OK」をクリックします。

7. 左ペインより、「Authentication Profile」をクリックします。

8. 右ペインの下部の「Add」をクリックします。

9. 以下のとおり設定し、「Advanced」のタブをクリックします。

10. 「Add」をクリックし、対象アカウントを選択します。「OK」をクリックします。

11. 上部タブの「Network」をクリックします。

12. 左ペインの「GlobalProtect」の「Portals」をクリックします。

13. 右ペイン上部の一覧から「GlobalProtect Portal」をクリックします。

【参考】

14. 「General」タブにてご利用の環境に合わせて設定し、「Authentication」タブをクリックします。

15. 「Client Authentication」の「Add」をクリックします。

16. 以下のとおり設定し、「OK」をクリックします。

17. その他のタブについては、ご利用の環境に合わせて設定し、「OK」をクリックします。

18. 左ペインの「GlobalProtect」の「Gateways」をクリックします。

19. 右ペイン上部の一覧から「GlobalProtect Portal」をクリックします。

【参考】

20. 「General」タブにてご利用の環境に合わせて設定し、「Authentication」タブをクリックします。

21. 「Client Authentication」の「Add」をクリックします。

22. 以下のとおり設定し、「OK」をクリックします。

23. その他のタブについては、ご利用の環境に合わせて設定し、「OK」をクリックします。

24. 右上部にあるメニューから「Commit」の「Commit to Panorama」をクリックします。

25. 「Commit All Changes」を選択し、「Commit」をクリックします。

26. 内容を確認し、「Close」をクリックします。

27. 右上部にあるメニューから「Commit」の「Push to Devices」をクリックします。

28. 「Edit Selections」をクリックします。

29. 「Prisma Access」のタブをクリックします。

30. すべての項目にチェックを入れ、「OK」をクリックします。

31. 「Close」をクリックします。

【参考】

処理中のステータスの画面

処理完了のステータスの画面

4. IIJ IDサービスのSAMLアプリケーションを設定する

1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。

2.アプリケーションの「編集する」をクリックします。

3. 「フェデレーション設定」をクリックします。

4. 以下のとおり設定し、「変更を適用する」をクリックします。

【参考】

【参考】

【注意】

【参考】

5. 「利用者設定」をクリックします。

6. 「利用者を追加する」をクリックし、アプリケーションにシングルサインオンさせたいグループ及びユーザを指定します。

【参考】

5. 各 Cloud Gateway 毎のセットアップをする

1. Prisma AccessにてCloud Gatewayを利用している場合は、Cloud GatewayのシングルサインオンURLをすべて確認します。

2. 各Cloud Gatewayごとに手順1、手順2、及び手順4の作業を繰り返します。

【参考】

1. 「アプリケーション」の「アプリケーションの管理」をクリックします。

1. 「アプリケーション」の「アプリケーションの管理」をクリックします。