チュートリアル: Microsoft Entra SSO と Palo Alto Networks ‐ Admin UI の統合

  • [アーティクル]

このチュートリアルでは、Palo Alto Networks - Admin UI と Microsoft Entra ID を統合する方法について説明します。 Palo Alto Networks - Admin UI を Microsoft Entra ID と統合すると、次のことができます:

  • Palo Alto Networks - Admin UI にアクセスできるユーザーを Microsoft Entra ID で制御する。
  • ユーザーが自分の Microsoft Entra アカウントを使用して Palo Alto Networks - Admin UI に自動的にサインインできる。
  • 1 つの場所でアカウントを管理します。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • Palo Alto Networks - Admin UI でのシングル サインオン (SSO) が有効なサブスクリプション。
  • サービスはパブリックで利用できることが要件です。 詳細については、こちらのページをご覧ください。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra シングル サインオンを構成してテストします。

  • Palo Alto Networks - Admin UI では、SP Initiated SSO がサポートされます。
  • Palo Alto Networks - Admin UI では、Just-In-Time ユーザー プロビジョニングがサポートされます。

ギャラリーからの Palo Alto Networks - Admin UI の追加

Microsoft Entra ID への Palo Alto Networks - Admin UI の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Palo Alto Networks - Admin UI を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに「Palo Alto Networks - Admin UI」と入力します。
  4. 結果パネルで [Palo Alto Networks - Admin UI] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

Palo Alto Networks - Admin UI の Microsoft Entra SSO の構成とテスト

このセクションでは、B.Simon というテスト ユーザーに基づいて、Palo Alto Networks - Admin UI で Microsoft Entra のシングル サインオンを構成し、テストします。 シングル サインオンを機能させるには、Microsoft Entra ユーザーと Palo Alto Networks - Admin UI 内の関連ユーザーとの間にリンク関係が確立されている必要があります。

Palo Alto Networks - Admin UI で Microsoft Entra シングル サインオンを構成してテストするには、次の手順を行います:

  1. Microsoft Entra SSO の構成 - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. Palo Alto Networks - Admin UI の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. Palo Alto Networks - Admin UI テスト ユーザーの作成 - Palo Alto Networks - Admin UI で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクします。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Palo Alto Networks - Admin UI]>[シングル サインオン] の順に移動します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。

    Edit Basic SAML Configuration

  5. [基本的な SAML 構成] セクションで、次の手順を実行します。

    a. [識別子] ボックスに、https://<Customer Firewall FQDN>:443/SAML20/SP という形式で URL を入力します。

    b. [応答 URL] ボックスに、https://<Customer Firewall FQDN>:443/SAML20/SP/ACS という形式を使用して、Assertion Consumer Service (ACS) URL を入力します。

    c. [サインオン URL] ボックスに、https://<Customer Firewall FQDN>/php/login.php という形式で URL を入力します。

    注意

    これらは実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 これらの値を取得するには、Palo Alto Networks - Admin UI クライアント サポート チームに連絡してください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

    [識別子][応答 URL] では、ポート 443 が必須となります。これらの値は Palo Alto Firewall にハードコーディングされています。 このポート番号を削除した場合、ログイン中にエラーが発生します。

    [識別子][応答 URL] では、ポート 443 が必須となります。これらの値は Palo Alto Firewall にハードコーディングされています。 このポート番号を削除した場合、ログイン中にエラーが発生します。

  6. Palo Alto Networks - Admin UI アプリケーションでは、特定の形式の SAML アサーションが求められます。そのため、カスタム属性マッピングを SAML トークン属性構成に追加する必要があります。 次のスクリーンショットには、既定の属性一覧が示されています。

    image

    Note

    属性の値はサンプルです。usernameadminrole には適切な値をマップしてください。 さらにもう 1 つ、省略可能な属性 accessdomain があります。この属性は、ファイアウォールで特定の仮想システムへの管理アクセスを制限する目的で使用します。

  7. その他に、Palo Alto Networks - Admin UI アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。それらの属性を次に示します。 これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。

    名前 ソース属性
    username user.userprincipalname
    adminrole customadmin

    注意

    上記で adminrole として示されている名前の値は、「 Palo Alto Networks - Admin UI の SSO の構成 」セクションの手順 12 で構成される "管理者ロールの属性" と同じ値である必要があります。 上記で customadmin として示されているソース属性の値は、「Palo Alto Networks - Admin UI の SSO の構成」セクションの手順 9 で構成される "管理者ロールのプロファイル名" と同じ値である必要があります。

    Note

    これらの属性の詳細については、次の記事を参照してください。

  8. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [ダウンロード] をクリックして、要件のとおりに指定したオプションからフェデレーション メタデータ XML をダウンロードして、お使いのコンピューターに保存します。

    The Certificate download link

  9. [Palo Alto Networks - Admin UI のセットアップ] セクションで、要件に従って適切な URL をコピーします。

    Copy configuration URLs

Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、B.Simon に Palo Alto Networks - Admin UI へのアクセスを許可して、このユーザーがシングル サインオンを使用できるようにします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Palo Alto Networks - Admin UI] の順に移動します。
  3. アプリの概要ページで、[ユーザーとグループ] を選択します。
  4. [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
    1. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
    2. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
    3. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。

Palo Alto Networks - Admin UI の SSO の構成

  1. 新しいウィンドウで Palo Alto Networks Firewall Admin UI を管理者として開きます。

  2. [Device](デバイス) タブを選択します。

    Screenshot shows the Device tab.

  3. 左側のウィンドウで [SAML Identity Provider](SAML ID プロバイダー) を選択し、 [Import](インポート) を選択してメタデータ ファイルをインポートします。

    Screenshot shows the Import metadata file button.

  4. [SAML Identify Provider Server Profile Import](SAML ID プロバイダー サーバー プロファイル インポート) ウィンドウで、次の手順を実行します。

    Screenshot shows the

    a. [プロファイル名] ボックスに名前 (「AzureAD Admin UI」など) を入力します。

    b. [Identity Provider Metadata] (ID プロバイダー メタデータ) の下で [参照] を選択して、前の手順でダウンロードした metadata.xml ファイルを選択します。

    c. [Validate Identity Provider Certificate](ID プロバイダー証明書の検証) チェック ボックスをオフにします。

    d. [OK] を選択します。

    e. ファイアウォールの構成を確定するには [Commit](コミット) を選択します。

  5. 左側のウィンドウで、[SAML ID プロバイダー] を選択し、前の手順で作成した SAML ID プロバイダー プロファイル ([AzureAD Admin UI] など) を選択します。

    Screenshot shows the SAML Identity Provider Profile

  6. [SAML Identify Provider Server Profile](SAML ID プロバイダー サーバー プロファイル) ウィンドウで、次の手順を実行します。

    Screenshot shows the

    a. [Identity Provider SLO URL](ID プロバイダー SLO URL) ボックスで、前の手順でインポートした SLO URL を https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 で置き換えます。

    b. [OK] を選択します。

  7. Palo Alto Networks Firewall の Admin UI で、 [Device](デバイス) をクリックし、 [Admin Roles](管理者ロール) を選択します

  8. [追加] ボタンを選びます。

  9. [Admin Role Profile](管理者ロール プロファイル) ウィンドウの [名前] ボックスに管理者ロールの名前 (たとえば fwadmin) を入力します。 この管理者ロール名は、ID プロバイダーから送信された SAML 管理者ロール属性名と一致する必要があります。 管理者ロールの名前と値は、[ユーザー属性] セクションで作成されています。

    Configure Palo Alto Networks Admin Role.

  10. Firewall の Admin UI で、 [Device](デバイス) をクリックし、 [Authentication Profile](認証プロファイル) を選択します。

  11. [追加] ボタンを選びます。

  12. [Authentication Profile](認証プロファイル) ウィンドウで、次の手順を実行します。

    Screenshot shows the

    a. [Name](名前) ボックスに名前 (「AzureSAML_Admin_AuthProfile」など) を入力します。

    b. [Type](種類) ドロップダウン リストで、 [SAML] を選択します。

    c. [IdP サーバー プロファイル] ドロップダウン リストで適切な SAML ID プロバイダー サーバーのプロファイル ([AzureAD Admin UI] など) を選択します。

    d. [Enable Single Logout](シングル ログアウトを有効にする) チェック ボックスをオンにします

    e. [Admin Role Attribute](管理者ロール属性) ボックスに属性名 (「adminrole」など) を入力します。

    f. [Advanced](詳細設定) タブを選択してから、 [Allow List](許可リスト)[Add](追加) を選択します。

    Screenshot shows the Add button on the Advanced tab.

    g. [All](すべて) チェック ボックスをオンにするか、このプロファイルで認証できるユーザーとグループを選択します。
    ユーザーが認証すると、ファイアウォールは関連するユーザー名またはグループをこの一覧のエントリと照合します。 エントリを追加しないと、ユーザーは認証できません。

    h. [OK] を選択します。

  13. 管理者が Azure を使用して SAML SSO を使用できるようにするには、 [Device](デバイス)>[Setup](セットアップ) を選択します。 [Setup](セットアップ) ウィンドウで [Management](管理) タブを選択してから、 [Authentication Settings](認証の設定)設定 ("歯車") ボタンを選択します。

    Screenshot shows the Settings button.

  14. [Authentication Profile](認証プロファイル) ウィンドウで作成した SAML 認証プロファイル (たとえば、AzureSAML_Admin_AuthProfile) を選択します。

    Screenshot shows the Authentication Profile field.

  15. [OK] を選択します。

  16. 構成をコミットするには [Commit](コミット) を選択します。

Palo Alto Networks - Admin UI のテスト ユーザーの作成

Palo Alto Networks - Admin UI では、Just-In-Time ユーザー プロビジョニングがサポートされます。 ユーザーが既に存在していない場合、認証の成功後に自動的にシステム内に作成されます。 ユーザーを作成する操作は不要です。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

  • [このアプリケーションをテストします] をクリックすると、ログイン フローを開始できる Palo Alto Networks - Admin UI のサインオン URL にリダイレクトされます。

  • Palo Alto Networks - Admin UI のサインオン URL に直接移動し、そこからログイン フローを開始します。

  • Microsoft マイ アプリを使用することができます。 マイ アプリで [Palo Alto Networks - Admin UI] タイルをクリックすると、SSO を設定した Palo Alto Networks - Admin UI に自動的にサインインされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

次のステップ

Palo Alto Networks - Admin UI を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。