Palo Alto Networks - Admin UI を Microsoft Entra ID でシングル サインオン用に構成する

この記事では、Palo Alto Networks - Admin UI と Microsoft Entra ID を統合する方法について説明します。 Palo Alto Networks - Admin UI を Microsoft Entra ID と統合すると、次のことができます:

• Palo Alto Networks - Admin UI にアクセスできるユーザーを Microsoft Entra ID で制御する。
• ユーザーが自分の Microsoft Entra アカウントを使用して Palo Alto Networks - Admin UI に自動的にサインインできる。
• 1 つの中央の場所でアカウントを管理します。

[前提条件]

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

• アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
• 次のいずれかのロール:
  • アプリケーション管理者
  • クラウドのアプリケーション管理者
  • アプリケーション所有者。

• Palo Alto Networks - Admin UI でのシングル サインオン (SSO) が有効なサブスクリプション。
• これは、サービスをパブリックに利用できるようにする必要がある要件です。 詳細については、こちらのページをご覧ください。

シナリオの説明

この記事では、テスト環境で Microsoft Entra のシングル サインオンを構成し、テストします。

• Palo Alto Networks - Admin UI では、SP Initiated SSO がサポートされます。
• Palo Alto Networks - Admin UI では、Just-In-Time ユーザー プロビジョニングがサポートされます。

ギャラリーからの Palo Alto Networks - Admin UI の追加

Microsoft Entra ID への Palo Alto Networks - Admin UI の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Palo Alto Networks - Admin UI を追加する必要があります。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
2. Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
3. [ギャラリーから追加する] セクションで、検索ボックスに「Palo Alto Networks - Admin UI」と入力します。
4. 結果パネルで [Palo Alto Networks - Admin UI] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細をご覧ください。

Palo Alto Networks - Admin UI の Microsoft Entra SSO の構成とテスト

このセクションでは、B.Simon というテスト ユーザーに基づいて、Palo Alto Networks - Admin UI で Microsoft Entra のシングル サインオンを構成し、テストします。 シングル サインオンを機能させるには、Microsoft Entra ユーザーと Palo Alto Networks - Admin UI 内の関連ユーザーとの間にリンク関係が確立されている必要があります。

Palo Alto Networks - Admin UI で Microsoft Entra シングル サインオンを構成してテストするには、次の手順を行います:

1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
   1. Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
   2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
2. Palo Alto Networks - Admin UI の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
   1. Palo Alto Networks - Admin UI テスト ユーザーの作成 - Palo Alto Networks - Admin UI で B.Simon に対応するユーザーを作成し、Microsoft Entra のユーザー表現にリンクします。
3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

Microsoft Entra SSO を有効にするには、次の手順に従います。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

2. Entra ID>Enterprise アプリ>Palo Alto Networks - Admin UI>シングルサインオンに移動します。

3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

4. [ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。

   

5. [基本的な SAML 構成] セクションで、次の手順を実行します。

   ある。 [識別子] ボックスに、https://<Customer Firewall FQDN>:443/SAML20/SP という形式で URL を入力します。

   b。 [応答 URL] ボックスに、https://<Customer Firewall FQDN>:443/SAML20/SP/ACS という形式を使用して、Assertion Consumer Service (ACS) URL を入力します。

   c. [ サインオン URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。 https://<Customer Firewall FQDN>/php/login.php

   注

   これらの値は実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 これらの値を取得するには、Palo Alto Networks - Admin UI クライアント サポート チームに連絡してください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

   [識別子] と [応答 URL] では、ポート 443 が必須となります。これらの値は Palo Alto Firewall にハードコーディングされています。 ポート番号を削除すると、削除された場合、ログイン中にエラーが発生します。

   [識別子] と [応答 URL] では、ポート 443 が必須となります。これらの値は Palo Alto Firewall にハードコーディングされています。 ポート番号を削除すると、削除された場合、ログイン中にエラーが発生します。

6. Palo Alto Networks - Admin UI アプリケーションでは、特定の形式の SAML アサーションが求められます。そのため、カスタム属性マッピングを SAML トークン属性構成に追加する必要があります。 次のスクリーンショットは、既定の属性の一覧を示しています。

   

   注

   属性の値はサンプルです。username と adminrole には適切な値をマップしてください。 もう 1 つの省略可能な属性 accessdomain は、ファイアウォール上の特定の仮想システムへの管理者アクセスを制限するために使用されます。

7. その他に、Palo Alto Networks - Admin UI アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。それらの属性を次に示します。 これらの属性も事前に設定されていますが、要件に従って確認できます。

   名前	ソース属性
   ユーザー名	ユーザー.ユーザープリンシパルネーム
   管理者ロール	カスタムアドミン

   注

   上記で adminrole として示されている名前の値は、「 Palo Alto Networks - Admin UI の SSO の構成 」セクションの手順 12 で構成される "管理者ロールの属性" と同じ値である必要があります。 上記の customadmin として示されているソース属性値は、管理者ロール プロファイル名と同じ値にする必要があります。この値は、「Palo Alto Networks - Admin UI SSO の構成」セクションの手順 9 で構成されています。

   注

   これらの属性の詳細については、次の記事を参照してください。

   • Admin UI の 管理ロール プロファイル (adminrole)
   • Admin UI の デバイス アクセス ドメイン (accessdomain)

8. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [ダウンロード] を選択して、要件のとおりに指定したオプションからフェデレーション メタデータ XML をダウンロードして、お使いのコンピューターに保存します。

   

9. [Palo Alto Networks - Admin UI のセットアップ] セクションで、要件に従って適切な URL をコピーします。

   

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

Palo Alto Networks - Admin UI の SSO の構成

1. 新しいウィンドウで Palo Alto Networks Firewall Admin UI を管理者として開きます。

2. [ デバイス ] タブを選択します。

   

3. 左側のウィンドウで [SAML Identity Provider](SAML ID プロバイダー) を選択し、 [Import](インポート) を選択してメタデータ ファイルをインポートします。

   

4. [SAML Identify Provider Server Profile Import](SAML ID プロバイダー サーバー プロファイル インポート) ウィンドウで、次の手順を実行します。

   

   ある。 [プロファイル名] ボックスに名前 (「AzureAD Admin UI」など) を入力します。

   b。 [Identity Provider Metadata] (ID プロバイダー メタデータ) の下で [参照] を選択して、前の手順でダウンロードした metadata.xml ファイルを選択します。

   c. [Validate Identity Provider Certificate](ID プロバイダー証明書の検証) チェック ボックスをオフにします。

   d. [OK] を選択.

   え ファイアウォールの構成を確定するには [Commit](コミット) を選択します。

5. 左側のウィンドウで、[SAML ID プロバイダー] を選択し、前の手順で作成した SAML ID プロバイダー プロファイル ([AzureAD Admin UI] など) を選択します。

   

6. [SAML Identify Provider Server Profile](SAML ID プロバイダー サーバー プロファイル) ウィンドウで、次の手順を実行します。

   

   ある。 [Identity Provider SLO URL](ID プロバイダー SLO URL) ボックスで、前の手順でインポートした SLO URL を https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 で置き換えます。

   b。 [OK] を選択.

7. Palo Alto Networks Firewall の Admin UI で、 [Device](デバイス) をクリックし、 [Admin Roles](管理者ロール) を選択します

8. [追加] ボタンを選びます。

9. [Admin Role Profile](管理者ロール プロファイル) ウィンドウの [名前] ボックスに管理者ロールの名前 (たとえば fwadmin) を入力します。 この管理者ロール名は、ID プロバイダーから送信された SAML 管理者ロール属性名と一致する必要があります。 管理者ロールの名前と値は、[ユーザー属性] セクションで作成されています。

   

10. Firewall の Admin UI で、 [Device](デバイス) をクリックし、 [Authentication Profile](認証プロファイル) を選択します。

11. [追加] ボタンを選びます。

12. [Authentication Profile](認証プロファイル) ウィンドウで、次の手順を実行します。

    

    ある。 [Name](名前) ボックスに名前 (「AzureSAML_Admin_AuthProfile」など) を入力します。

    b。 [Type](種類) ドロップダウン リストで、 [SAML] を選択します。

    c. [IdP サーバー プロファイル] ドロップダウン リストで適切な SAML ID プロバイダー サーバーのプロファイル ([AzureAD Admin UI] など) を選択します。

    d. [Enable Single Logout](シングル ログアウトを有効にする) チェック ボックスをオンにします

    え [Admin Role Attribute](管理者ロール属性) ボックスに属性名 (「adminrole」など) を入力します。

    f. [Advanced](詳細設定) タブを選択してから、 [Allow List](許可リスト) で [Add](追加) を選択します。

    

    ジー [All](すべて) チェック ボックスをオンにするか、このプロファイルで認証できるユーザーとグループを選択します。
    ユーザーが認証すると、ファイアウォールは関連するユーザー名またはグループをこの一覧のエントリと照合します。 エントリを追加しないと、ユーザーは認証できません。

    h. [OK] を選択.

13. 管理者が Azure を使用して SAML SSO を使用できるようにするには、 [Device](デバイス)>[Setup](セットアップ) を選択します。 [Setup](セットアップ) ウィンドウで [Management](管理) タブを選択してから、 [Authentication Settings](認証の設定) で設定 ("歯車") ボタンを選択します。

    

14. [Authentication Profile](認証プロファイル) ウィンドウで作成した SAML 認証プロファイル (たとえば、AzureSAML_Admin_AuthProfile) を選択します。

    

15. [OK] を選択.

16. 構成をコミットするには [Commit](コミット) を選択します。

Palo Alto Networks - Admin UI のテスト ユーザーの作成

Palo Alto Networks - Admin UI では、Just-In-Time ユーザー プロビジョニングがサポートされます。 ユーザーがまだ存在しない場合は、認証が成功した後にシステムに自動的に作成されます。 ユーザーを作成する操作は不要です。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

• [ このアプリケーションをテストする] を選択すると、このオプションは、ログイン フローを開始できる Palo Alto Networks - Admin UI のサインオン URL にリダイレクトされます。

• Palo Alto Networks - Admin UI のサインオン URL に直接移動し、そこからログイン フローを開始します。

• Microsoft マイ アプリを使用できます。 マイ アプリで [Palo Alto Networks - Admin UI] タイルを選択すると、SSO を設定した Palo Alto Networks - Admin UI に自動的にサインインします。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

関連コンテンツ

Palo Alto Networks - Admin UI を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は条件付きアクセスから拡張されます。 Microsoft Defender for Cloud Appsでセッション制御を適用する方法について説明します。