SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【Palo Alto】Prisma AccessとOktaのSAML/SCIM連携 -Cloud Identity Engine-

セキュリティ
2024.06.27

本記事は、Palo Alto Networks社のPrisma AccessとOktaのSAML/SCIM連携についての内容です。

Prisma AccessではIDaaSとの連携でユーザ認証やIDベースのポリシー制御が可能になります。
Cloud Identity Engine (CIE) を活用することで、Prisma AccessやPAなどのネットワーク製品における
ID管理を一元化し簡素化することができます。

Cloud Identity Engine (CIE) は、オンプレミスやクラウドで管理されたユーザー、グループ、および
認証データを一元化し、ネットワークセキュリティインフラストラクチャ全体でIDを統一することが
可能なクラウドサービスです。

オンプレミスからクラウドのIDプロバイダ (IdP) への移行によって複数のIdPが共存する環境においても、
一貫したユーザー認証で常にIDベースのセキュリティ対策を施行することでゼロトラストを実現します。

本記事ではCIEを介してPrisma AccessとOktaを連携し、ユーザー認証とポリシー制御を行う手順をご紹介いたします。

PrismaAccess-CIE-Okta_04.png



目次

  1. CIEとは
  2. 設定の流れ
  3. CIEとOktaのSAML連携
  4. CIEとOktaのSCIM連携
  5. Prisma AccessとCIEの連携
  6. 動作確認
  7. まとめ



1. CIEとは

CIEはPalo Alto Networks社が提供している、クラウドネイティブなID統合サービスです。
CIEの機能は、「ユーザー認証」と「ディレクトリ同期」の2つに大別されます。

「ユーザー認証」
SAML 2.0ベースのユーザー認証が可能です。
NGFWやPrisma Accessは、サービスプロバイダ (SP) としてCIE経由でIdPから認証を受けます。

「ディレクトリ同期」
IdPからID情報を取得して同期し、NGFWやPrisma Accessといったセキュリティ製品に提供します。
この情報をもとに、ユーザーやグループベースのセキュリティポリシーを定義することができます。
IdPとSCIM連携することによってディレクトリの同期を行います。



2. 設定の流れ

本記事では、以下の流れで Prisma Access - CIE - Okta の連携を行います。

CIEとOktaのSAML連携
CIEを介した「ユーザ認証」を実施するため、CIEとOktaの設定を行います。
3. CIEとOktaのSAML連携

CIEとOktaのSCIM連携
CIEにOktaの「ディレクトリを同期」するため、CIEとOktaの設定を行います。
4. CIEとOktaのSCIM連携

Prisma AccessとCIEの連携
Prisma Accessでの外部認証をCIE経由で実施するための設定を行います。
5. Prisma AccessとCIEの連携

動作確認
Prisma Accessでのユーザー認証とポリシー制御の動作確認を行います。
6. 動作確認



3. CIEとOktaのSAML連携

【事前準備】

①CIEにアカウント管理者としてログインします。

Authentication > SP Metadata
 後述のOkta側の設定で使用する SAML Region を確認して控えておきます。

Entity ID https://cloud-auth.jp.apps.paloaltonetworks.com/sp
   ↓
SAML Region
 cloud-auth.jp.apps

3-01_ SP Metadata.png

【Okta側の設定】

Palo Alto Networks Cloud Identity Engine アプリの追加

①Oktaの管理者コンソールにログインします。
Applications > Applications から Browse App Catalog をクリックします。
3-02.png

Palo Alto Networks Cloud Identity Engine を検索して選択します。
3-03.png

Add Integration をクリックします。
3-04.png

⑤必要に応じてアプリの表示名を編集後、Next をクリックします。
3-05.png

SAML 2.0 が選択されていることを確認します。
⑦Force Authentication を有効にする場合は Disable Force Authenticationチェックを外します
groupsMatches regex を選択し、「.* (ピリオド、アスタリスク)」を入力します。
Metadata URL をコピーして控えておきます。
3-06.png

Advanced Sign-on SettingsSAML Region に「事前確認」で確認した値を貼り付けます (例: cloud-auth.jp.apps)。
Application username format
でユーザー認証に使用したい形式を選択します。
Done をクリックします。
3-08.png

ユーザーの割り当て

Assignments から Assign をクリックします。

②ユーザーもしくはグループに対してアプリを割り当てます。
 ユーザーの場合は Assign to People、グループの場合は Assign to Groups をクリックします。
 今回はグループに割り当てるため Assign to Groups をクリックします。
3-09.png

③選択するグループの右側にある Assign を選択し Done をクリックします。
3-10.png

Assignments > Groups から、アプリに割り当てられたグループを確認できます。
3-11.png

【CIE側の設定】

Authentication > Authentication Types から Add New Authentication Type をクリックします。
3-12.png

SAML 2.0Set Up をクリックします。
3-13.png

Profile Name に、SAML認証タイプのプロファイル名を入力します。
Identity Provider VendorOkta を選択します。
Add MetadataGet URL を選択します。
Identity Provider Metadata URL に「Palo Alto Networks Cloud Identity Engine アプリの追加」で控えた Metadata URL をペーストし、Get URL をクリックします。
3-14.png

Metadata URL から取得した情報が表示されます。
⑧GlobalProtect への再接続時に認証情報を用いてログインする必要がある場合は、
Force Authentication を有効にします。
3-15.png

⑨プロファイル設定を検証するために、Test SAML Setup をクリックします
3-22.png

⑩Oktaのログイン画面が表示されたら、割り当て済みユーザーの認証情報でログインします。
3-16.png

⑪認証に成功すると Test Sccessful! と表示され、ウィンドウが自動的に閉じます。
3-17.png

Success と表示されたら Submit をクリックします。
3-18.png

Authentication > Authentication Profiles から Add Authentication Profile をクリックします。
3-19.png

PROFILE NAME に、SAML認証プロファイルの名前を入力します。
AUTHENTICATION MODESingle を選択します。
SELECT AUTHENTICATION TYPE で、上記で作成したプロファイルを選択します。
Submit をクリックします。
3-20.png

Authentication > Authentication Types に、作成した認証プロファイルが表示されます。
3-21.png



4. CIEとOktaのSCIM連携

【CIE側の設定⑴】

Directory Sync > Directories から Add New Directory をクリックして新規ディレクトリを追加します。
3-23.png

Cloud DirectorySet Up から SCIM を選択します。
3-24.png

Configure Directory Sync for SCIM の設定を行います。

SCIM Client: Okta を選択します
Directory ID: Okta の Directory Name が推奨ですが、任意のIDを入力します (-を含む40文字までの英数字)
Directory Name: Okta Domain を入力します (小文字の英数字、ピリオド(.)、ハイフン(-)、アンダースコア(_)のみ使用可能)
        ※ピリオド (.) を含む場合最初のピリオドの前は最大15文字
3-25.png

Base URL: Okta側の設定で使うため、コピーして控えておきます
3-26.png

Bearer Token: Okta側の設定で使うため、コピーして控えておきます
Submit をクリックします。
3-27.png

⑨以下ポップアップが表示された場合、チェックボックスにチェックを入れてOKをクリックします。
4-06.png

⑩作成したディレクトリが表示されます。
 ※Oktaとの同期前のため、Sync StatusWaiting for initial sync の状態で問題ありません。
4-07.png

【Okta側の設定】

Applications > Applications から Browse App Catalog をクリックします。
3-02.png

Palo Alto Networks SCIM を検索して選択します。
4-08.png

Add Integration をクリックします。
4-09.png

④必要に応じてアプリの表示名を編集後、Done をクリックします。
4-10.png

Provisioning から Configure API Integration をクリックします。
4-12.png

Enable API Integration にチェックを入れます。
4-13.png

Base URL: CIE側の設定でコピーした Base URL を貼り付けます。
API Token: CIE側の設定でコピーした Bearer Token を貼り付けます。
Test API Credentials をクリックします。
4-14.png

Palo Alto Networks SCIM was verified successfully! と表示されたら Save をクリックして設定を保存します。
4-15.png

⑪画面が遷移したら、Provisioning to App の右にある Edit をクリックします。
4-16.png

Create UsersUpdate User AttributesDeactivate UsersSync PasswordEnable にして、Save をクリックします。
4-17.png

Push Groups から Push Groups をクリックします。
4-18.png

Find group by name をクリックします。
4-19.png

⑮プッシュするグループの名前を検索して選択します。
4-20.png

Assignments から Assign をクリックします。
4-21.png

⑰ユーザーもしくはグループに対してアプリを割り当てます。
 ユーザーの場合は Assign to People、グループの場合は Assign to Groups をクリックします。
 今回はグループに割り当てるため Assign to Groups をクリックします。
4-22.png

⑱選択するグループの右側にある Assign を選択し Done をクリックします。
4-23.png

⑲グループ内の全ユーザーに対して適用される属性を確認して、Save and Go Back をクリックします。
4-24.png

⑳選択したグループが表示されていることを確認します。
4-25.png

CIE側の設定⑵

Directory Sync > Directories で Okta SCIM ディレクトリの SCIM Change Timestamp のカラムに
 タイムスタンプが表示されていることを確認します。
4-26.png

Actions カラムから Full Sync をクリックします。
4-27.png

③以下の確認ポップアップが表示されたら Yes をクリックします。
4-28.png

Full Sync が完了すると Sync Status カラムに Success と表示されます。
 Last Change Detected カラムでは、最後に変更が行われた時間を確認できます。
4-29.png

CIEディレクトリの確認

Directory Sync > Directories では同期済みのディレクトリ情報を確認できます。
6-05.png

Users カラムの数字をクリックすると、同期されたユーザーの情報が一覧で表示されます。
6-06.png

Groups カラムの数字をクリックすると、同期されたグループの情報が一覧で表示されます。
6-07.png



5. Prisma AccessとCIEの連携

Prisma Accessに管理者としてログインします。
※今回はクラウド管理コンソールである Strata Cloud Manager (SCM) での手順となります

ユーザー認証 (SAML)

Prisma Accessで、認証プロファイルを作成します。

Manage > Configuration > NGFW and Prisma Access > IDサービス > 認証 に移動します。
5-01.png

認証プロファイルタブを選択し、プロファイルの追加をクリックします。
認証方式: Cloud Identity Engine
プロファイル名: プロファイル名を入力します
プロファイル: 「CIEで作成したプロファイル」を選択します
保存 をクリックします。
5-02.png

次に、GlobalProtectユーザーの認証設定を行います。

Workflows > Prisma Access Setup > GlobalProtect に移動します。
インフラ > ユーザー認証認証の追加をクリックします。
5-03.png

次よりユーザーを認証する: 認証対象のOSを選択します
認証方式: Cloud Identity Engine を選択します
Profile: 「上記で作成した認証プロファイル」を選択します
保存をクリックします。
5-04.png

認証シーケンスの確認を行います。
 ユーザー認証に表示されている認証設定は、上から順に適用されます。
 今回は追加した認証設定を最上位に移動します。※1
5-05.png

※1) 移動させたい認証設定を選択して、移動 からアクションを選択できます。
5-06.png

ディレクトリ同期 (SCIM)

Manage > Configuration > NGFW and Prisma Access > IDサービス > Cloud Identity Engine に移動します。
Cloud Identity Engine設定 をクリックします。
5-07.png

③ユーザーを特定するために使用するユーザー名の形式を選択します。
 プライマリユーザー名の選択は必須です。その他は必要に応じて選択します。
④選択後、保存をクリックします。
5-08.png

⑤CIE に同期したディレクトリが表示されることを確認します。
5-09.png

次に、ディレクトリのユーザーやグループをポリシールールに追加できることを確認します。

Manage > Configuration > NGFW and Prisma Access >セキュリティサービス> セキュリティポリシーに移動します。
ルールの追加をクリックします。
5-10.png

⑧セキュリティポリシールールの一致条件でユーザーの指定条件を選択にします。

Usersタブに、CIEに同期されたディレクトリのユーザーが表示されます。
 ユーザーの表示形式は、Directory Name\プライマリユーザー名で選択した属性です。
5-11.png

ユーザーグループタブに、CIEに同期されたディレクトリのユーザーグループが表示されます。
 ユーザーグループの表示形式は、Directory Name\ディレクトリのグループ名です。
5-12.png



6. 動作確認

Prisma Accessでのユーザー認証

①GlobalProtectをインストール済みの端末から、Prisma Accessに接続します。
6-01.png

②Webブラウザにリダイレクトされ、Oktaの認証画面が表示されます。
③対象のユーザーでサインインします。
6-02.png

④認証が成功すると、以下の画面が表示されます。
6-03.png

⑤Prisma Accessに接続されました。
6-04.png

ユーザーベースのセキュリティポリシー制御

Manage > Configuration > NGFW and Prisma Access > セキュリティサービス > URLアクセス管理に移動します。
newsカテゴリへのサイトアクセスをblockに設定したURLアクセス管理プロファイルを追加します。
6-08.png

Manage > Configuration > NGFW and Prisma Access > セキュリティサービス > セキュリティポリシーに移動します。
ルールの追加をクリックします。
5-10.png

送信元にOktaディレクトリのユーザーを指定したポリシーを作成します。
ポリシー名: CIE-User-Test-Policy
送信元ユーザー: demo-sbcs-soltech\manaka.nakamura
※newsカテゴリ
blockに設定したURLアクセス管理プロファイルを適用します (本記事では説明を省略します)。
6-12.png

⑦対象ユーザーからのアクセスがブロックされ、ブロックページが表示されます。
6-13.png

⑧作成したポリシーによって対象の通信がブロックされたことを確認できます。
6-14.png

次に、送信元にOktaディレクトリのグループを指定したポリシーを作成します。
ポリシー名: CIE-Group-Test-Policy
送信元ユーザー: CN=CIE-Group,DC=demo-sbcs-soltech
※newsカテゴリ
blockに設定したURLアクセス管理プロファイルを適用します (本記事では説明を省略します)。
6-09.png

⑪対象グループに属するユーザーからのアクセスがブロックされ、ブロックページが表示されます。
6-10.png

⑫作成したポリシーによって対象の通信がブロックされたことを確認できます。
6-11.png



7. まとめ

本記事ではCIEとOktaを連携し、Prisma Accessでのユーザー認証とポリシー制御を行う設定手順をご紹介しました。
一貫したIDベースのセキュリティ制御は、ゼロトラストの観点からも非常に重要です。
CIEを利用することで、NGFWやPrisma AccessにおけるIDの一元管理が容易になります。

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
 今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

他のおすすめ記事はこちら

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
PCNSE, PSE Strata/SASE Professional
中村 愛佳 -Manaka Nakamura-