オプション設定の構成
Palo Alto Networks Gatewayは、以下のような複数のオプション設定をサポートします。
クライアントIPレポートの設定
Palo Alto Networks NGFWは31(起呼端末Id)などの標準属性値ペア(AVP)を使用したクライアントIPの送信を行いません。むしろ、ベンダー固有属性(VSA)を使用してデータを送信します。
ソースクライアントのIPアドレスに基づいてポリシーが解析、レポート、適用されるようOktaを設定するには、Okta管理コンソールでOkta Palo Alto Radiusアプリを構成します。
以下に示すように、[Advanced RADIUS Settings(高度なRADIUS設定)]に以下の設定を入力します。
- Client IP(クライアントIP):クライアントIPをレポートをオンにします。
- RADIUS End User IP Attributes(RADIUSエンドユーザーIP属性):26 Vendor-Specific, 7
Palo Alto Networks Administrative Shellを開き、以下のコマンドを実行します。
set authentication radius-vsa-on client-source-ip
グループ応答の設定
Palo Alto Network Gatewayは、11(Filter-Id)および25(Class)の標準属性値ペア(AVP)を使用するグループを受信しません。代わりに、ベンダー固有属性を使用します。

以下の手順にリストされているベンダーは、RADIUS応答にグループを含めることを利用できる可能性のあるベンダーの単なるサブセットです。ベンダーがRADIUS応答でグループを利用でき、リストされていない場合:
- 一意のベンダー・コードまたはIDを決定します。
ベンダーIDは、コンテンツの対象となるベンダーを識別し、 ベンダー固有のIDとして入力されます。
たとえば、CiscoはこのRADIUSベンダーIDの値を参照し、Citrixは ベンダー・コードを使用します。 - グループ・ポリシーに関連付けられているベンダー固有のコードを決定します。ベンダー固有のグループ・コードは、このフィールドにグループ名の値が含まれているベンダーを識別し、属性IDとして入力されます。
たとえば、Ciscoの場合、25という値を使用してグループ・ポリシーを示します。
ベンダー固有の属性でRADIUSグループ情報を送信するようにアプリを構成するには、次の手順を実行します。
- Oktaで、[アプリケーション] > [アプリケーション]に移動します。
- 名前をクリックしてアプリケーションを開きます。
ヒント
[検索]フィールドを使用して、表示されるアプリケーションのセットを絞り込むことができます。
- [サインオン]タブを選択します。
- [高度なRADIUSの設定]セクションまでスクロールし、[編集]をクリックします。
- [グループ応答]セクションで、次の手順を実行します。
- [RADIUS応答にグループを含める]をチェックします。
- [RADIUS属性]サブ・セクションで、以下を指定します。
フィールド
値
コメント
[RADIUS属性] 26 Vendor Specific
26 Vendor Specificにする必要があります。
[ベンダー固有のID]
次のいずれかを入力します。
Cisco - ASA-Group-Policy (3076)Citrix-Group-Names (3845)
Fortinet-Group-Name(12356)
PaloAlto-User-Group(25461)
関連するベンダーIDの数値を入力します。
たとえば、Ciscoの場合は3076と入力します。
リストにない場合 - 一意のベンダー・コードまたはID。たとえば、CiscoはこのRADIUSベンダーIDの値を参照し、Citrixは ベンダー・コードを使用します。[属性ID]
Cisco - ASA-Group-Policy (25)
Citrix-Group-Names (16)
Fortinet-Group-Name(1)
PaloAlto-User-Group(5)
関連する属性IDの数値を入力します。たとえば、Ciscoの場合は25と入力します。
リストにない場合 - グループ・ポリシーに関連付けられているベンダー固有の一意のコード。たとえば、Ciscoの場合、25という値を使用してグループ・ポリシーを示します。重要
[ベンダー固有のID]と[属性ID]は文字列フィールドです。
注意
- グループ・メンバーシップ値の最大長は247バイトです。グループ・メンバーシップの長さ またはグループ名の長さが最大サイズを超える状況では、切り捨てが発生し、部分的な値が返されます。
- このような場合、Oktaでは、単一の区切られたリストではなく、[属性の繰り返し]のセットとして応答を構成することを提案しています。
- [保存]をクリックします。
資格情報のプロンプトを繰り返しクッキーを有効化
特定の状況で、GlobalProtectはOkta RADIUSで設定されている場合の資格情報のプロンプトを2回表示します。この2回目のプロンプトはGlobal Protectログインのクッキーを有効化することで回避できます。この状況で、GlobalConnectポータルはRADIUS Gatewayが短時間(通常60秒以内)で受け入れるクッキーを生成します。
GlobalProtectポータルでクッキー生成を有効化
- Global Protectポータルに接続します。
- [Network(ネットワーク)]>[GlobalProtect]>[Portals(ポータル)]に進みます。
- [Portal Profile(ポータル プロファイル)]を開きます。
- [Agent(エージェント)]タブを選択して[Agent Config(エージェント構成)]をクリックします。
- [Generate cookie for authentication override(認証上書きのためにクッキーを生成)]を有効化します。
- クッキーの有効期間を設定します。RADIUSでは、通常60~90秒です。
- 証明書を選択し、クッキーを暗号化/復号化します。
GlobalProtect Gatewayでクッキー受け入れを有効化
- [Network(ネットワーク)]>[GlobalProtect]>[Gateway(ゲートウェイ)]に進みます。
- [Gateway Profile(ゲートウェイ プロファイル)]を開きます。
- [Agent(エージェント)]タブを選択します。
- [Client Settings(クライアント設定)]をクリックし、[Client Config(クライアント構成)]を開きます。
- [Authentication Override(認証の上書き)]タブを選択して[Accept cookie for authentication override(認証上書きのためにクッキーを受け入れ)]を有効にします。
- クッキーの有効期間を設定します。RADIUSでは、通常60~90秒です。
- クッキーを暗号化/復号化する証明書を選択します。
注: 前のステップで使用した証明書と同じにする必要があります。