Okta RADIUSを使用するようにPalo Alto Networks VPNを構成する

RADIUSを使用するようにPalo Alto VPを構成するには、Palo Alto Networks RADIUSサーバープロファイルを使用して以下の手順に従います。

  1. RADIUSサーバープロファイルを定義する
  2. Okta Palo Alto RADIUSエージェントの認証プロファイルを定義する
  3. Okta RADIUS認証プロファイルをゲートウェイに適用する
  4. Okta RADIUS認証プロファイルを使用するようにGlobalProtectポータルを構成する

はじめに

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

RADIUSサーバープロファイルを定義する

  1. 十分な権限でPalo Alto Networks管理コンソールにサインインします。
  2. [Device(デバイス)][Server Profile(サーバープロファイル)][RADIUS]に移動し、[Add(追加)]をクリックして新規RADIUSサーバーを定義します。

  3. 一意のプロファイル名を入力し、次のサーバー設定を入力します。

    • [Timeout (sec)(タイムアウト(秒))]:60

    • [Authentication Protocol(認証プロトコル)]:PAP

    • [Retries(再試行)]:1

  4. [Add(追加)]をクリックしてサーバーを定義します。以下の設定を入力します。

    • [Name(名前)]:適切な一意の名前

    • [Radius Server(Radiusサーバー)]:Okta Palo Alto RADIUSエージェントをインストールしたサーバーのIPアドレス。

    • [Secret(シークレット)]:Okta RADIUSアプリで定義したRADIUSのシークレット。

    • [Port(ポート)]:Okta Palo Alto RADIUSアプリで定義したUDPポート。

  5. [OK]をクリックします。

Okta Palo Alto RADIUSエージェントの認証プロファイルを定義する

  1. [Device(デバイス)][Authentication Profile(認証プロファイル)]を選択し、[Add(追加)]をクリックして認証プロファイルを定義します。

  2. [Authentication(認証)]タブを選択します。

  3. 以下を除き、デフォルト設定を使用します。
    • [Type(タイプ)]:RADIUS
    • [Server Profile(サーバープロファイル)]:さきほど定義したサーバープロファイルの名前を入力します。
  4. [OK]をクリックします。
  5. [Authentication Profile(認証プロファイル)]画面で、[Advanced(高度な設定)]タブを選択します。
  6. [Add(追加)]をクリックして許可リストを割り当てます。利用可能なオプションから[All(すべて)]を選択します。
  7. [OK]をクリックして設定を保存します。

  8. [Commit(コミット)]をクリックしてOkta RADIUS認証プロファイルを保存します。

  9. Palo Alto Networksの[Administrative Shell(管理シェル)][Test the Authentication Profile(認証プロファイルをテスト)]を開きます。

Okta RADIUS認証プロファイルをゲートウェイに適用する

  1. [Network(ネットワーク)][GlobalProtect][Gateways(ゲートウェイ)]を選択し、構成済みのGlobalProtectゲートウェイを開きます。
  2. [認証(Authentication)]タブを選択し、[Client Authentication Settings(クライアント認証の設定)]を定義します。
  3. [Add(追加)]をクリックし、前の手順で構成したOkta RADIUS認証プロファイルへのクライアント認証を更新します。
  4. 以下を除き、デフォルト設定のままにします。
    • [Name(名前)]:適切な一意の名前
    • [OS]:任意
    • [Authentication Profile(認証プロファイル)]:さきほど構成した認証プロファイルを入力します。
    • [Authentication Message(認証メッセージ)]:エンドユーザー向けの適切な指示を入力します(例:「サインイン資格情報を入力してください」)。

  5. [OK]をクリックして設定を保存します。

Okta RADIUS認証プロファイルを使用するようにGlobalProtectポータルを構成する

注:この手順では、GlobalProtectゲートウェイに適用したのと同じ設定をGlobalProtectポータルに適用します。

  1. [Network(ネットワーク)][GlobalProtect][Portals(ポータル)]を選択し、構成済みのGlobalProtectポータルを開きます。
  2. [Authentication(認証)]タブを選択し、[Client Authentication Settings(クライアント認証の設定)]を定義します。
  3. [Add(追加)]をクリックし、前の手順で構成したOkta RADIUS認証プロファイルへのクライアント認証を更新します。
  4. 以下を除き、デフォルト設定のままにします。
    • [Name(名前)]:適切な一意の名前
    • [OS]:任意
    • [Authentication Profile(認証プロファイル)]:さきほど構成した認証プロファイルを入力します。
    • [Authentication Message(認証メッセージ)]:エンドユーザー向けの適切な指示を入力します(例:サインイン資格情報を入力してください)。

  5. [OK]をクリックして設定を保存します。

[Commit(コミット)]をクリックしてPalo Alto Networks Admin ConsoleでOkta RADIUS構成を保存します。