Okta RADIUSを使用するようにPalo Alto Networks VPNを構成する

このタスクでは、RADIUSサーバープロファイルの定義、Okta Palo Alto RADIUS Agentの認証プロファイルの定義、ゲートウェイへのOkta RADIUS認証プロファイルの適用、Okta RADIUS認証プロファイルを使用するためのGlobalProtectポータルの構成を行います。Palo Alto Networks RADIUSサーバープロファイルを使用してこれらを完了します。

手順

  1. RADIUSサーバープロファイルを定義する
  2. Okta Palo Alto RADIUS Agentの認証プロファイルを定義する
  3. Okta RADIUS認証プロファイルをゲートウェイに適用する
  4. Okta RADIUS認証プロファイルを使用するようにGlobalProtectポータルを構成する

はじめに

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

RADIUSサーバープロファイルを定義する

  1. 十分な権限でPalo Alto Networks Admin Consoleにサインインします。
  2. [Device(デバイス)]>[Server Profile(サーバープロファイル)]>[RADIUS]に移動し、[Add(追加)]をクリックして新規RADIUSサーバーを定義します。
  3. 上記のように、一意で適切なプロファイル名を入力し、以下のサーバー設定を入力します。

    • [Timeout (sec)(タイムアウト(秒))]:60

    • [Authentication Protocol(認証プロトコル)]:PAP

    • [Retries(再試行)]:1

  4. 上記の画面で[Add(追加)]をクリックしてサーバーを定義します。以下の設定を入力します。
    • [Name(名前)]:一意で適切な名前

    • [Radius Server(Radiusサーバー)]:上記でOkta Palo Alto RADIUS AgentをインストールしたサーバーのIPアドレス。

    • [Secret(シークレット)]:上記のOkta Radiusアプリで定義したRadiusのシークレット。

    • [Port(ポート)]:上記のOkta Palo Alto Radiusアプリで定義したUDPポート。

  5. [OK]をクリックして設定を保存します。

Okta Palo Alto RADIUS Agentの認証プロファイルを定義する

  1. [Device(デバイス)]>[Authentication Profile(認証プロファイル)]を選択し、[Add(追加)]をクリックして認証プロファイルを定義します。

  2. [Authentication(認証)]タブを選択します。

  3. 以下を除き、デフォルト設定を使用します。
    • [Type(タイプ)]:RADIUS
    • [Server Profile(サーバープロファイル)]:さきほど定義したサーバープロファイルの名前を入力します。
  4. [OK]をクリックします。
  5. [Authentication Profile(認証プロファイル)]画面で、[Advanced(高度な設定)]タブを選択します。
  6. [Add(追加)]をクリックして許可リストを割り当てます。利用可能なオプションから[All(すべて)]を選択します。
  7. [OK]をクリックして設定を保存します。
  8. [Commit(コミット)]をクリックしてOkta RADIUS認証プロファイルを保存します。

  9. Palo Alto Networksの[Administrative Shell(管理シェル)][Test the Authentication Profile(認証プロファイルをテスト)]を開きます。

Okta RADIUS認証プロファイルをゲートウェイに適用する

  1. [Network(ネットワーク)]>[GlobalProtect]>[Gateways(ゲートウェイ)]を選択し、構成済みのGlobalProtectゲートウェイを開きます。
  2. [Authentication(認証)]タブを選択し、[Client Authentication Settings(クライアント認証の設定)]を定義します。
  3. [Add(追加)]をクリックし、前の手順で構成したOkta RADIUS認証プロファイルへのクライアント認証を更新します。
  4. 以下を除き、デフォルト設定のままにします。
    • [Name(名前)]:一意で適切な名前
    • [OS]:任意
    • [Authentication Profile(認証プロファイル)]:さきほど構成した認証プロファイルを入力します。
    • [Authentication Message(認証メッセージ)]:「ログイン資格情報を入力してください」など、エンドユーザーにとって適切な指示を入力します。
  5. [OK]をクリックして設定を保存します。

Okta RADIUS認証プロファイルを使用するようにGlobalProtectポータルを構成する

注:この手順では、GlobalProtectゲートウェイに適用したのと同じ設定をGlobalProtectポータルに適用します。

  1. [Network(ネットワーク)]>[GlobalProtect]>[Portals(ポータル)]を選択し、構成済みのGlobalProtectポータルを開きます。
  2. [Authentication(認証)]タブを選択し、[Client Authentication Settings(クライアント認証の設定)]を定義します。
  3. [Add(追加)]をクリックし、前の手順で構成したOkta RADIUS認証プロファイルへのクライアント認証を更新します。
  4. 以下を除き、デフォルト設定のままにします。
    • [Name(名前)]:一意で適切な名前
    • [OS]:任意
    • [Authentication Profile(認証プロファイル)]:さきほど構成した認証プロファイルを入力します。
    • [Authentication Message(認証メッセージ)]:「ログイン資格情報を入力してください」など、エンドユーザーにとって適切な指示を入力します。
  5. [OK]をクリックして設定を保存します。

すべての設定をコミットする

[Commit(コミット)]をクリックしてPalo Alto Networks Admin ConsoleでOkta RADIUS構成を保存します。