Palo Alto Networks VPNを構成する
Okta RADIUS Serverエージェントを使用するようにPalo Alto Networks VPNを構成します。
OktaとPalo Alto Networksは、RADIUSまたはSAML 2.0を介して相互運用できます。Palo Altoのゲートウェイごとに、1つ以上の認証プロバイダーを割り当てることができます。
各認証プロファイルは、RADIUS、TACAS+、LDAPなどの認証サーバーにマッピングされます。OktaのエージェントはRADIUSを使用して、VPNからのRADIUS認証要求をOkta API呼び出しに変換します。
このページでは、8.0より古いPanOSバージョンを実行している場合に、Palo Alto Network VPNのRADIUS統合を使用して統合する方法について説明します。Palo Alto NetworksとSAMLを使用して統合する方法については説明していません。
PanOS 8.0、9.0以降を実行している場合は、統合にSAMLを使用します。
開始する前に
Okta RADIUSエージェントをインストールする前に、以下のネットワーク接続要件を満たしてください。
| ソース | 宛先 | ポート/プロトコル | 説明 |
|---|---|---|---|
| Okta RADIUSエージェント | Okta Identity Cloud | TCP/443 HTTP |
構成および認証トラフィック。 |
| クライアントゲートウェイ | Okta RADIUSエージェント | UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) | ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック。 |
サポートされるバージョン、要素、関連情報の完全なリストについては、「Palo Alto Networks VPNでサポートされる機能と要素」を参照してください。
制限事項
1つのOkta Verifyデバイスのみ登録します。それより多くのOkta Verifyを追加すると、未定義の、または予期しない動作が発生する可能性があります。
RADIUSが構成されたorgをClassic Engineから移行し、番号チャレンジを使用するOkta Verify Authenticatorを構成した場合、このチャレンジはサポートされていないにもかかわらずRADIUSユーザーに提示されます。これを防ぐには、早期アクセス機能の[RADIUSの番号一致チャレンジを無効にする]を有効にします。「セルフサービス機能を有効にする」を参照してください。
一般的なワークフロー
|
タスク |
説明 |
|---|---|
| RADIUSエージェントをダウンロードする |
Admin Consoleで、に移動します。 環境に適したOkta RADIUSエージェントをダウンロードします。スループット、可用性、その他の考慮事項については、「Okta RADIUS Serverエージェントのデプロイメントに関するベストプラクティス」を参照してください。 |
| Oktaエージェントをインストールします。 | WindowsにOkta RADIUS Serverエージェントをインストールする |
| アプリケーションを構成する | Palo Alto Networks VPN(RADIUS)アプリケーションを構成します。 |
| ゲートウェイを構成する | GlobalProtectポータルツールを使用して、Palo Alto Networks VPNを構成します。 |
| 任意の設定を構成する | 任意の設定を構成します。 |
| テスト | 統合のテストを行います。 |
| トラブルシューティング | 任意。Palo Alto Networks VPN統合のトラブルシューティング |