Palo Alto Networks VPNを構成する

Okta RADIUS Server Agentを使用するようにPalo Alto Networks VPNを構成します。

OktaとPalo Alto Networksは、RADIUSまたはSAML 2.0を介して相互運用できます。Palo Altoのゲートウェイごとに、1つ以上の認証プロバイダーを割り当てることができます。

各認証プロファイルは、RADIUS、TACAS+、LDAPなどの認証サーバーにマッピングされます。OktaのエージェントはRADIUSを使用して、VPNからのRADIUS認証要求をOkta API呼び出しに変換します。

このページでは、8.0より古いPanOSバージョンを実行している場合に、Palo Alto Network VPNのRADIUS統合を使用して統合する方法について説明します。Palo Alto NetworksとSAMLを使用して統合する方法については説明していません。

PanOS 8.0、9.0以降を実行している場合は、統合にSAMLを使用します。

はじめに

Okta RADIUSエージェントをインストールする前に、以下のネットワーク接続要件を満たしてください。

ソース 宛先 ポート/プロトコル 説明
Okta RADIUSエージェント Okta Identity Cloud TCP/443

HTTP

構成および認証トラフィック。
クライアントゲートウェイ Okta RADIUSエージェント UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック。

サポートされるバージョン、要素、関連情報の完全なリストについては、「Palo Alto Networks VPNでサポートされる機能と要素」を参照してください。

制限事項

1つのOkta Verifyデバイスのみ登録します。それより多くのOkta Verifyを追加すると、未定義の、または予期しない動作が発生する可能性があります。

RADIUSが構成されたorgをClassic Engineから移行し、番号チャレンジを使用するOkta Verify Authenticatorを構成した場合、このチャレンジはサポートされていないにもかかわらずRADIUSユーザーに提示されます。これを防ぐには、早期アクセス機能の[RADIUSの番号一致チャレンジを無効にする]を有効にします。「セルフサービス機能を有効にする」を参照してください。

一般的なワークフロー

タスク

説明

RADIUSエージェントをダウンロードする Admin Consoleで、[Settings(設定)][Downloads(ダウンロード)]に移動します。環境に適したOkta RADIUSエージェントをダウンロードします。

スループット、可用性、その他の考慮事項については、「Okta RADIUS Server Agentのデプロイメントに関するベストプラクティス」を参照してください。

Oktaエージェントをインストールします。 WindowsにOkta RADIUS Serverエージェントをインストールする

LinuxにOkta RADIUSサーバーエージェントをインストールする

アプリケーションを構成する Palo Alto Networks VPN(RADIUS)アプリケーションを構成します
ゲートウェイを構成する GlobalProtectポータルツールを使用して、Palo Alto Networks VPNを構成します。
オプション設定を構成する オプション設定を構成します。
テスト 統合のテストを行います
トラブルシューティング 任意。Palo Alto Networks VPN統合のトラブルシューティング

関連項目