次の方法で共有

Palo Alto Networks - GlobalProtect for Single sign-on を Microsoft Entra ID で構成する

この記事では、Palo Alto Networks - GlobalProtect と Microsoft Entra ID を統合する方法について説明します。 Palo Alto Networks - GlobalProtect を Microsoft Entra ID と統合すると、次のことができます。

  • Palo Alto Networks - GlobalProtect にアクセスできるユーザーを Microsoft Entra ID で制御します。
  • ユーザーが自分の Microsoft Entra アカウントを使用して Palo Alto Networks - GlobalProtect に自動的にサインインできるようにします。
  • 1 つの場所でアカウントを管理します。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

  • Palo Alto Networks - GlobalProtect でのシングル サインオン (SSO) が有効なサブスクリプション。

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

  • Palo Alto Networks - GlobalProtect では、SP によって開始される SSO がサポートされます
  • Palo Alto Networks - GlobalProtect では、Just-In-Time ユーザー プロビジョニングがサポートされます

ギャラリーからの Palo Alto Networks - GlobalProtect の追加

Microsoft Entra ID への Palo Alto Networks - GlobalProtect の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Palo Alto Networks - GlobalProtect を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに「Palo Alto Networks - GlobalProtect」と入力します。
  4. 結果パネルで [Palo Alto Networks - GlobalProtect] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細をご覧ください。

Palo Alto Networks - GlobalProtect の Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、Palo Alto Networks - GlobalProtect に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるために、Microsoft Entra ユーザーと Palo Alto Networks - GlobalProtect の関連ユーザーとの間にリンク関係を確立する必要があります。

Palo Alto Networks - GlobalProtect に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

  1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. Palo Alto Networks - GlobalProtect SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. Palo Alto Networks - GlobalProtect テストユーザーを作成 - Microsoft Entra ID で表現された B.Simon に対応する Palo Alto Networks - GlobalProtect のユーザーを作成します。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>Enterprise apps>Palo Alto Networks - GlobalProtect>シングルサインオン操作する。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。

    基本的な SAML 構成を編集する方法を示すスクリーンショット。

  5. [基本的な SAML 構成] セクションで、次の手順を実行します。

    ある。 [識別子 (エンティティ ID)] ボックスに、次のパターンを使用して URL を入力します。https://<Customer Firewall URL>/SAML20/SP

    b。 [応答 URL (Assertion Consumer Service URL)] テキスト ボックスに、https://<Customer Firewall URL>/SAML20/SP/ACS というパターンを使用して URL を入力します。

    c. [サインオン URL] ボックスに、次のパターンを使用して URL を入力します。https://<Customer Firewall URL>

    注意

    これらの値は実際の値ではありません。 これらの値は、実際の識別子、応答 URL、サインオン URL で更新してください。 これらの値を取得するには、Palo Alto Networks - GlobalProtect クライアント サポート チームに連絡してください。 Microsoft Entra 管理センターの [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  6. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、[フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、XML ファイル (これにも SAML 証明書が含まれています) をダウンロードして、お使いのコンピューターに保存します。

    証明書のダウンロード リンクを示すスクリーンショット。

  7. [Palo Alto Networks - GlobalProtect のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。

    構成の URL をコピーする方法を示すスクリーンショット。

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

Palo Alto Networks - GlobalProtect の SSO の構成

  1. 別のブラウザー ウィンドウで Palo Alto Networks - GlobalProtect を管理者として開きます。

  2. [ デバイス] を選択します

    Palo Alto シングル サインオンの構成 1

  3. 左側のナビゲーション バーから SAML ID プロバイダー を選択し、[インポート] を選択してメタデータ ファイルをインポートします。

    Palo Alto シングル サインオンの構成 2

  4. [Import](インポート) ウィンドウで次の操作を実行します。

    Palo Alto シングル サインオンの構成 3

    ある。 [プロファイル名] ボックスに名前 (「Microsoft Entra GlobalProtect」など) を入力します。

    b。 [ID プロバイダー メタデータ] で、[参照] を選択し、Microsoft Entra 管理センターからダウンロードしたフェデレーション メタデータ XML ファイルを選択します。

    c. 省略可能: ID プロバイダー証明書の検証をオフにします。 オンにすると、Microsoft Entra からの証明書もファイアウォールにアップロードする必要があります。

    d. [OK] を選択します。

    注意

    エラー メッセージ Failed to parse IDP Metadata でアップロードが失敗した場合は、システムに必要な管理者権限があり、プロファイル名が 31 文字を超えていないことを確認します。

Palo Alto Networks - GlobalProtect テスト ユーザーの作成

このセクションでは、Palo Alto Networks - GlobalProtect で B.Simon というユーザーを作成します。 Palo Alto Networks - GlobalProtect では、Just-In-Time ユーザー プロビジョニングがサポートされています。この設定は既定で有効になっています。 このセクションにはアクション項目はありません。 Palo Alto Networks - GlobalProtect にユーザーがまだ存在していない場合は、認証後に新規に作成されます。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

  • [ このアプリケーションをテストする] を選択すると、このオプションは、ログイン フローを開始できる Palo Alto Networks - GlobalProtect のサインオン URL にリダイレクトされます。

  • Palo Alto Networks - GlobalProtect のサインオン URL に直接移動し、そこからログイン フローを開始します。

  • Microsoft マイ アプリを使用することができます。 マイ アプリで [Palo Alto Networks - GlobalProtect] タイルを選択すると、SSO を設定した Palo Alto Networks - GlobalProtect に自動的にサインインします。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

関連コンテンツ

Palo Alto Networks - GlobalProtect を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。