Prisma Browserのセットアップ（CIEローカル認証）

Prisma Browserのセットアップ手順を記載します。Prisma Browserの認証先としてCIEを利用します。また、SAMLのIdpの準備ができないという方のために、今回はローカルユーザー認証の設定を行ないます。Prisma Browserの認証においては、セキュリティの観点からSAML等の認証サーバーを使うことが推奨されていますので、検証用途で利用するようにしてください。

基本的には、以下のドキュメントに併せて設定を行なっていきます。

Configure a CIE Directory

Learn how to configure a local directory for the Cloud Identity Engine.

docs.paloaltonetworks.com

Directoryの作成 と ローカルユーザーの登録

• HUB経由でCIEにログインします。

• 初回ログイン時は、Welcomeページが表示されます。
  （２回目以降は、「Directories」→「Add New Directory」をクリックします）
• CIE Directoryの横の「Sign Up」をクリックします。

• Directory名を指定して、画面右下の「Submit」をクリックします。
• Directoryが作成されるまで数分かかります。

• ディレクトリが作成されました。まだ、ユーザーは登録されていない状態です。

• 作成された右側の「︙」→「Add/Remove Users」をクリックします。

• 「Add User」をクリックします。

• ユーザー名、メールアドレス、パスワードを設定して「Create」をクリックします。
  ※ メールアドレスがログイン時のユーザーIDになります。

Authentication Typeの作成

• 「Authentication Types」→「Add New Authentication Type」をクリックします。

• 「Passoword Authentication」→「Set Up」をクリックします。

• 次に以下の設定を行い、「Submit」をクリックします。
  • Authentication Type Name：任意の名前
  • CIE Directory：先ほど作成したDirectry（local directory）を選択

Authentication Profileの作成

• 「Authentication Profile」→「Add Authentication Profile」をクリックします。

• ①はすでに完了しているので、②の設定を行い「Submit」をクリックします。
  • PROFILE NAME：任意の名前を設定
  • AUTHENTICATION MODE：Single （ローカルユーザー利用時はSingleのみ）
  • SELECT AUTHENTICATION TYPE：PAB Local User （先ほど作成したもの）

Prisma Browserのセットアップ

CIE（ローカルユーザー）のセットアップが完了したので、今度はPrisma Browserのオンボードを行います。

Prisma Access Setup

• HUBからPrisma Browserの管理コンソールにアクセスします。

• Prisma Browserがセットアップされていないため、Command Centerが表示されます。
• 「Configration」→「Prisma Browser」をクリックします。

• 「Onborading」クリックします。

• 「Step1：Users」について以下の設定を行い、「Save Changes」をクリックします。
  • Authentication pforiles：PAB Local (先ほどCIE上で作成したもの）
  • Directory：local-directory （先ほどCIE上に作成したもの）
  • User groups：Everyone （作成していないので・・・）
  • Identification method：Mail （ユーザー名として利用）

• 以下のようなメッセージが表示されるので「Publish to production」をクリックします。

Prisma Browserは、PAシリーズ同様に設定後にコミットを行う仕様（Draft Modeという機能）に順次移行していますが、この初期設定についてはまだ対応していないため、即時反映されます。というメッセージです。

• 「Step2」以降は、今回設定する必要はありませんが簡単に説明しておきます。
  • Step2：Prisma Access integration
    • Prisma Access のExplicit Proxy(EP) や ZTNA Connectorとの連携を行う場合に設定を行います。
  • Step3：Routing
    • Prisma Browserの通信を、Prisma Access経由にするかどうかの設定を行います。
  • Step4：Enforce SSO applications
    • 特定のSaaSについて、Prisma Browser以外のブラウザからのアクセスを許可しないようにSAML Idp等と連携するための設定を行います。
  • Step5：Download and distribute
    • Prisma Browserのダウンロードと配布方法について記載されています。
    • https://get.pabrowser.com/welcomeからもダウンロード可能です。
  • Step6：Browser policy
    • セキュリティポリシー等の設定方法について記載されています。（セキュリティポリシー画面へのリンクが貼られているだけです。）

Prisma Browserのダウンロード・インストール

• Step5からブラウザをダウンロードして、インストールしてください。
• Prisma Browserは、ユーザー権限でインストールが可能です。

起動とログイン

• ブラウザを起動するとログイン画面が表示されます。
• メールアドレスを入力して「続行」をクリックします。

• Palo Alto NetworksのSSOのポップアップが表示されますので、パスワードを入力して「Login」をクリックします。

• 初回接続時はパスワード変更を促される場合がありますので、変更します。

• 無事ログインすることができました。
• 初回ログイン時はブラウザの言語やテーマなどを選択できますので、適宜設定してみてください。
• 本来は、Browser Policyの設定を先に実施する必要がありますが、Policy設定は別の記事で記載する予定です。