Prisma AccessのSAML認証(Extic編)

今回、EXGEN NETWORKS様のご好意で、国産IDaaSであるExticの検証環境をお借りすることができました。今回は、最低限の設定でPrismaAccessのMU接続時のSAML認証を行います。

Extic(国産IDaas) - サービス概要|EXGEN NETWORKS
Exticは、クラウドサービスへのSSOだけでなく、 クラウドとオンプレミス双方へIDを連携・管理できる国産のIDaaSです。認証基盤が備えなければならない「認証」と「ID管理」の機能を、1つのサービスで提供します。
www.exgen.co.jp

extic 側の設定

まずはExticにログインします。ログイン用のURLは顧客ごとに払い出しされているかと思います。

  • アカウントページに移動します。
  • 画面右上の、「管理者」→「管理コンソール」をクリックします。

ユーザーの作成

最初は管理者しか登録されていませんので、認証テスト用のユーザーを登録します。

ユーザーグループの作成

  • 最初にユーザーグループを作成します。
  • 管理コンソールの「グループ」→「ユーザーグループ」タブをクリックします。
  • 「新規ユーザーグループ追加」をクリックします。
  • グループ名を指定して、「追加する」をクリックします。
  • ユーザーグループが追加されました。

ユーザーの作成

続いてユーザーを作成します。

  • 「ユーザー」タブ → 「新規ユーザー追加」をクリックします。
  • 必要事項を記入します。(今回は必須項目だけ埋めています。)
  • 「所属ユーザーグループの管理」をクリックし、先ほど作成した「extic-saml-group」の所属にチェックを入れ、「X」ボタンをクリックして画面から抜けます。
  • 「追加する」をクリックします。
  • 新規ユーザーが追加されました。

SAML設定(アプリケーション設定)

SAML Idpの設定を行なっていきます。

  • 「アプリケーション」タブ → 「使用可能」タブ をクリックします。
  • リストの下の方に、「シングルサインオン(SAML)」という項目があるので、右側の「使用する」をクリックします。
  • 以下の設定を行います。
    • 表示名(任意)を設定します。
    • SAMLの設定は以下を設定します。
      • SAML エンティティID:https://<ポータルURL>:443/SAML20/SP
      • SAML SP エンドポイント URL:https://<ポータルURL>:443/SAML20/SP/ACS
  • 保存をクリックします。
  • 「使用中」タブに、登録したSAML Single Sign-onアプリケーションが表示されます。
  • 右側のダウンロードボタンをクリックして、「SAML Idp メタデータ」をダウンロードします。

ユーザーへのアプリケーションの割り当て

作成したユーザーに、SAMLアプリケーションを登録します。

  • 「ユーザー」タブで、今回作成したユーザー(saml-user001)の右側の「編集」をクリックします。
  • 「アプリケーション」タブに移動すると、作成した「PrismaAccess-SAML」が表示されますので、「使用しない」になっているトグルスイッチ部分をクリックして「使用する」に変更します。
  • 「更新する」をクリックして設定を反映します。

PrismaAccess 側の設定

続いて、PrismaAccess側の認証設定を行います。「Mobile User 簡易セットアップ」で構築したMU環境を利用します。

SAMLサーバープロファイルの作成

  • SCMにログインし、左メニューから「Configration」→ 「NGFW and Prisma Access」 を選択します。
  • 「Configration Scope:GlobalProtect」 を選択します。
  • 「IDサービス」→「認証」を選択します。
  • 「サーバープロファイル」→「SAML」を選択し、「メタデータのインポート」をクリックします。
  • 先ほどexticからダウンロードした、「SAML Idp メタデータ」ファイルを指定して、「インポート」をクリックします。
  • サーバープロファイルが登録されるので、「名前」をクリックして分かりやすい名称に変えておきます。(今回は、EXTIC-SAML-IDPとしました)

認証プロファイルの作成

  • 「認証プロファイル」タブに移動して、認証プロファイルで、「プロファイルの追加」をクリックします。

認証プロファイルとして以下の設定を行い、「保存」をクリックします。

  • 認証方式:SAML
  • SAML サーバ プロファイル:EXTIC-SAML-IDP(先ほど作成したもの)
  • プロファイル名:EXTIC-SAML-Auth(任意)
  • SAMLの認証プロファイルが追加されました。

ユーザー認証設定

  • GlobalProtectのユーザー認証設定にSAML認証を追加します。
  • 「Configration Scope:GlobalProtect」→「セットアップ」→「インフラ」を選択します。
  • ユーザー認証の「認証の追加」をクリックします。
  • ユーザー認証の設定を行います。
    • 次に含まれるユーザーを認証する:Any
    • 認証方式:SAML
    • Profile:EXTIC-SAML-Auth(先ほど作成したもの)
  • 「保存」をクリックします。
  • 設定が追加されましたが、ユーザー認証は上から順番に評価されるようになっているため、このままでは「Local User認証」が優先されてしまうので変更します。
  • 追加したSAMLのユーザー認証設定の左側のチェックボックスをクリックして選択します。
  • 「移動」→「最上部へ移動(又は「上へ」)」をクリックします。
  • 順序が入れ替わりました。
  • 不要であればLocal User認証は削除しても構いません。

これで設定が完了したので、設定をPush(PAシリーズでいうところのCommit)します。

  • 画面右上の「設定のプッシュ」→「プッシュ」をクリックします。
  • 説明に、今回の設定概要を記載します(任意の内容)
  • 「プッシュ」をクリックします。
  • ジョブ画面が表示されるので、プッシュが完了するまで待ちます。

プッシュが完了したので、動作確認を行なっていきます。

接続確認

  • クライアントPCで、タスクバー上のGlobalProtectアイコンをクリックします。
  • Portal名(XXXXX.gpcloudservice.com)を設定して「接続」をクリックします。
  • ユーザー名とパスワードを設定して、次へをクリックします。
  • Authentication Completeと表示され、VPN接続が完了します。

コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!

タイトルとURLをコピーしました