みなさん、こんにちは!
前回までの手順で GMOトラストログイン側の設定は完了しました。
本記事では、次のステップとしてPrisma Access側の設定を行い、あわせて動作確認の方法について解説します。
1. Prisma Access側の設定(Panorama)
1-1. SAML IdPサーバープロファイルの作成
1.PanoramaのWeb管理画面にログインします。
2.[DEVICE] タブを選択し、テンプレートメニューから [Mobile_User_Template] を選択します。
3.[サーバープロファイル] > [SAMLアイデンティティプロバイダ] を選択し、画面下部の [インポート] をクリックします。
4.SAML IdPのインポート画面にて以下を設定し、[OK] をクリックします。
- プロファイル名: 任意の名称(例: GmoTL_Portal_IdP など)
- アイデンティティ プロバイダ メタデータ: [参照...] をクリックし、GMOトラストログインからダウンロードしたGPポータル用のメタデータ(xml)を指定
- アイデンティティプロバイダ証明書の検証: オフ(チェックを外す)
5.[証明書の管理] > [証明書] > [デバイス証明書] タブを確認し、インポートによってIdPの証明書が自動作成されていることを確認します。
6.同様の手順で、GPゲートウェイ用のメタデータを使用して、ゲートウェイ用のSAML IdPプロファイルも作成します。
1-2. 認証プロファイルの作成
1.[DEVICE] タブ > [Mobile_User_Template] を選択します。
2.[認証プロファイル] を選択し、[追加] をクリックします。
3.以下の通り設定します。
- 名前: 任意の名称(例: GmoTL_Portal_Auth)
- [認証] タブ > タイプ: [SAML] を選択
- IdPサーバープロファイル: 手順1-1で作成した「GPポータル用」のプロファイルを選択
4.[詳細] タブを開き、許可リスト内の [追加] をクリックして 「all」 を選択します。
5.[OK] をクリックして保存します。
6.同様の手順で、GPゲートウェイ用のIdPプロファイル紐づけた認証プロファイルも作成します。
1-3. GPポータルのSAML認証設定
1.[NETWORK] タブ > [Mobile_User_Template] を選択します。
2.[GlobalProtect] > [ポータル] を選択し、対象のポータル設定(GlobalProtect_Portal)をクリックします。
クライアント認証の追加
3.[認証] タブを開き、クライアント認証エリアの [追加] をクリックします。
4.任意の名前を入力し、認証プロファイルに手順4-2で作成した「GPポータル用認証プロファイル」を選択して [OK] をクリックします。
5.作成したSAML認証設定を選択し、[上へ] ボタンをクリックしてリストの最上位に移動させます。
エージェント設定の修正
6.[エージェント] タブを開き、既存のエージェント設定(通常は「DEFAULT」など)を選択して [Clone] をクリックします(既存設定を直接編集しても可ですが、Cloneを推奨)。
7.[認証] タブにて以下を設定します。
- 名前: 任意の名称(例: SAML_Agent_Config)
- 認証オーバーライド: 各設定のチェックボックスがオフであることを確認
- ユーザー認証の保存: 「Save Username Only」 を選択
- クッキーの暗号化: 「None」 (または適切なプロファイル) を選択
- [OK] をクリックします。
8.エージェント設定一覧画面で、作成した設定を [上へ] で最上位に移動し、[OK] をクリックしてポータル設定画面を閉じます。
【重要】認証ブラウザの設定変更(推奨)
GlobalProtectアプリ設定にて、SAML認証に使用するブラウザを「デフォルトブラウザ」に変更することを推奨します。
1.[GlobalProtect] > [ポータル] > [エージェント] > [App] タブ等の設定を確認します(またはポータル設定内のApp設定)。
2.「Use Default Browser for SAML Authentication」 を 「Yes」 に変更します。
※なぜこの設定が必要なのか? GlobalProtectの組み込みブラウザ(Embedded Browser)を使用した場合、Cookieの明示的な削除が困難な仕様があります。 これにより、一度SAML認証に成功するとセッションが残り続け、ユーザー切り替えや再認証時に認証画面が表示されず、自動的に接続されてしまう(意図しないユーザーで接続される)リスクがあります。 「デフォルトブラウザ」を使用することで、ブラウザ側のセッション管理に従うことができ、トラブルを回避できます。
1-4. GPゲートウェイのSAML認証設定
1.[NETWORK] タブ > [Mobile_User_Template] を選択します。
2.[GlobalProtect] > [ゲートウェイ] を選択し、対象のゲートウェイ(GlobalProtect_External_Gateway)をクリックします。
クライアント認証の追加
3.[認証] タブを開き、クライアント認証の [追加] をクリックします。
4.任意の名前を入力し、認証プロファイルに「GPゲートウェイ用認証プロファイル」を選択して [OK] をクリックします。
5.作成した設定を [上へ] で最上位に移動します。
エージェント設定の修正
6.[エージェント] タブ > [クライアントの設定] タブを開き、既存の設定(DEFAULT等)を選択して [Clone] をクリックします。
7.[設定の選択条件] タブにて任意の [名前] を入力します。
8.[認証オーバーライド] タブにて、各項目のチェックがオフであることを確認し [OK] をクリックします。
9.認証オーバーライドのCookie設定全てをチェックを外します。
10.作成した設定を [上へ] で最上位に移動し、[OK] をクリックしてゲートウェイ設定画面を閉じます。
1-5. 設定のコミット
1.画面右上の 「Commit」 > 「Commit to Panorama」 をクリックします。
2.デバイスグループ/テンプレートの選択で 「Mobile User Template」 が含まれていることを確認し、「Commit」 を実行します。
2. 動作確認
設定反映後、クライアントPCにて接続確認を行います。
1.クライアントPCで GlobalProtectアプリ を起動します。
2.ポータルのFQDNを入力し、「接続」 ボタンをクリックします。
3.既定のブラウザが立ち上がり、GMOトラストログインのログイン画面 が表示されることを確認します。
4.テスト対象の企業ID、ログインID、パスワードを入力してログインします。
5.認証に成功するとブラウザからGlobalProtectアプリへ制御が戻り、ステータスが 「接続済み」 になることを確認します。
6.設定タブ等を確認し、正しい接続情報が表示されているかチェックします。
7.最後に、Panorama側の [MONITOR] > [ログ] > [GlobalProtect] 等でログを確認し、SAML認証が正常に記録されていることを確認して作業完了です。
まとめ
今回は、Prisma Access (Panorama環境) とGMOトラストログインを用いたSAML認証の連携手順をご紹介しました。
ポータルとゲートウェイそれぞれに対して設定が必要になるため手順は少々複雑ですが、事前にFQDN等の情報を整理してから着手することでスムーズに進めることができます。特に、GlobalProtectアプリ側で「デフォルトブラウザを使用する設定」に変更する点は、運用後の認証トラブル(ループやキャッシュ残り)を防ぐための重要なポイントです。
本記事が、皆様のSAML連携設定の一助となれば幸いです。