Palo Alto Networksがサポートする機能と要素
Palo Alto Networksは以下のバージョン、クライアント、機能、要素をサポートしています。
サポートされる機能
次のOkta機能がサポートされています。
| 機能 | サポート |
備考 |
|---|---|---|
| RADIUS経由のOkta認証情報による認証 | はい | |
|
SAML経由のOkta認証情報による認証 |
いいえ |
Palo Alto VPNのRADIUS統合はSAMLをサポートしていません。 |
| RADIUS経由の多要素認証 | はい | |
| SAML経由の多要素認証 | はい |
Palo Alto VPNのRADIUS統合は、SAMLを使用したMFAをサポートしていません。 |
サポートされる要素
多数のオーセンティケーターの登録をユーザーに許可した場合、RADIUSプロンプトに対してチャレンジメッセージのサイズが大きくなりすぎることがあります。Oktaでは、一定期間に登録するオーセンティケーターを8個までにすることを推奨しています。
OktaではRADIUSアプリ用に次のオーセンティケーターをサポートしています。
|
MFAオーセンティケーター |
パスワード認証プロトコル(PAP) | 拡張認証プロトコル - Generic Token Card(EAP-GTC) | 拡張認証プロトコル - Tunneled Transport Layer Security(EAP-TTLS)* |
|---|---|---|---|
| Duo(プッシュ、SMS、パスコードのみ) | サポート | サポート | Duoパスコードのみ。 |
|
サポート |
サポート |
文字列「EMAIL」が最初に送信された場合にサポートされます。 |
|
|
RADIUSは、メールによるインライン登録をサポートしていません。インライン登録を使用する場合は、メールを無効にするか、メール設定で[Password reset(パスワードリセット)]を指定します。
|
|||
| サポート | サポート | サポート(チャレンジが回避される限り)。 たとえば、MFAのみ、または「パスワード、パスコード」。 |
|
| サポート<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">(1台のデバイスのみ)</MadCap:conditionalText> | サポート<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">(1台のデバイスのみ)</MadCap:conditionalText> | サポート<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">(1台のデバイスのみ)</MadCap:conditionalText>(チャレンジが回避される限り)。 例: TOTPの場合、MFAのみ、または「パスワード、MFA」。 プッシュチャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + MFAで機能します。 |
|
|
サポート対象外 |
サポート対象外 |
サポート対象外 |
|
| サポート | サポート | 文字列「CALL」が送信された場合にサポートされます。 「関連する注意事項」を参照してください。 |
|
| サポート | サポート | サポート - チャレンジが回避される限り。 たとえば、MFAのみ、または「パスワード、パスコード」。 |
|
* RADIUSは、次の3つの認証方法をサポートしています。
- パスワード + MFA:パスワードを使用したプライマリ認証が行われ、その後、ユーザーは認証を完了するための要素を選択するよう求められます。
- MFAのみ:パスワードの代わりに、ユーザーはワンタイムパスコードを入力するか、「EMAIL」、「SMS」、「CALL」、「PUSH」(大文字と小文字を区別しない)のいずれかを入力します。
- パスワード、パスコード:リクエストでパスワードの直後にパスコードを入力します。
同じリクエスト内に存在する必要があります。例:「Abcd1234,879890」または「Abcd1234,SmS」。
次の認証方法がプロトコルではサポートされています。
| プロトコル | サポート |
|---|---|
| PAP | パスワードとMFA、MFA、「パスワードとパスコード」。 |
| EAP-TTLS | MFAのみ、「パスワードとパスコード」。 |
| EAP-GTC | パスワードとMFA、MFAのみ、「パスワードとパスコード」。 |
指定された文字列「EMAIL/SMS/CALL」を送信する必要があります。最初は失敗が返されます。これにより、指定された方法を使用して提供されるワンタイムパスコード(OTP)が生成されます。提供されたOTPは、認証に使用できます。
EAP-TTLSは登録をサポートしていません
EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがそのオーセンティケーターに登録されていない場合、認証は予期せず失敗します。
U2FセキュリティおよびWindows Hello MFA要素は、RADIUS対応の実装と互換性がありません。「OktaでRADIUSアプリケーションを構成する」を参照してください。
パスワードなしの認証
RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。従来のRADIUS認証は、パスワードを持たないユーザーでは実行できません。アプリケーション設定プロパティの[Okta performs primary authentication(Oktaでプライマリ認証を実施)]がクリアされている場合は、RADIUSで認証のためにほかの要素を使用できます。詳細については、「OktaのRADIUSアプリケーション」の 「二要素認証のみ(パスワードなしモード)を参照してください。
パスワードなしの認証について詳しくは、「パスワードなしサインインエクスペリエンスをセットアップする」を参照してください。