ログイン  
こんにちは!

助けが必要? 私たちはここにいます!

サポートアイコン
miniOrange メールサポート
成功

お問い合わせいただきありがとうございます。弊社のチームがすぐにご連絡させていただきます。

24時間以内に連絡がない場合は、お気軽にフォローアップメールをお送りください。 info@xecurify.com

検索結果:

×
お問合せ デモをリクエストする
見積り依頼

Palo Alto Networks の 2FA/MFA を設定する

miniOrangeの2要素認証(XNUMXFA)ソリューション パロアルトGlobalProtect シームレスで、セットアップが簡単で、拡張性があります。miniOrange は、Palo Alto VPN サーバーに接続するだけで、数分でセキュリティをさらに強化できます。ハイブリッドな作業文化を育むことで、組織に 2 要素認証を備えた安全なリモート アクセス環境を提供できます。


パロアルトVPN 多要素認証(MFA/2FA)ソリューション miniOrangeは、組織のセキュリティ強化を支援します リモートアクセスMFA/2FAを有効にすると、ユーザーは通常どおりユーザー名とパスワード(第2要素)を入力し、PaloAlto GlobalProtect VPNにアクセスするために仮想またはハードウェアMFA/XNUMXFAソリューションで共有される認証コード(第XNUMX要素)を入力する必要があります。miniOrangeは 15以上のMFA方式 SMS/メール経由のOTP、Google Authenticator、Microsoft Authenticator、プッシュ通知など。以下のセットアップガイドに従って、 パロアルトGlobalProtect インスタンス。

miniOrange MFA ソリューションでサイバー保険に準拠します。  プロフィール


無料のPOCを入手 - スロットを予約


miniOrange は、システム エンジニアとの相談電話を通じて無料の POC とサポートを提供し、30 日間の試用期間でお客様の環境で Palo Alto Networks VPN の多要素認証を設定することができます。

これを行うには、次のメールアドレスにメールを送信してください。 idpsupport@xecurify.com 無料の POC を入手して、すぐにソリューションの設定をお手伝いします。


無料のPOCを入手


Palo Alto Networksログイン用のminiOrange 2FA/MFA認証

miniOrangeは、ユーザーが入力したユーザー名/パスワードをRADIUSリクエストとして受け取り、Active Directory(AD)などのユーザーストアに対してユーザーを検証するRADIUSサーバーとして動作することでこれを実現します。最初のレベルの認証の後、 miniOrange MFAソリューション ユーザーに2つ目の認証要素の入力を求め、ユーザーの入力に基づいてアクセスを許可または取り消します。


Palo Alto Networks の MFA

  1. プライマリ認証は、ユーザーがユーザー名とパスワードを送信することで開始されます。 パロアルトネットワークス.
  2. ユーザーリクエストは、 認証リクエスト RADIUS サーバー (miniOrange) へ。
  3. miniOrange RADIUS サーバー ユーザー資格情報を渡して、AD (Active Directory) / データベースに保存されている資格情報と照合して検証します。
  4. ユーザーの最初のレベルの認証が検証されると ADはRADIUSサーバーに確認を送信します.
  5. miniOrange RADIUSサーバーは、 2要素認証チャレンジ ユーザに提供する。
  6. ここで、ユーザーはハードウェア/電話で受信した応答/コードを送信します。
  7. ユーザーの応答 miniOrange の RADIUS サーバー側でチェックされます。
  8. 成功した場合 第二要素認証 ユーザーにログイン権限が付与されます。

外部ディレクトリに接続


miniOrangeはさまざまなユーザー認証を提供します 外部ディレクトリ など miniOrange ディレクトリ, マイクロソフト広告, Microsoft Entra ID/LDAP, AWSコグニート の三脚と さらに多くの.

ディレクトリが見つからない場合はお問い合わせください idpsupport@xecurify.com



Palo Alto Networks の多要素認証 2FA/MFA を有効にする

1. miniOrangeでPalo Alto Networksを構成する

  • miniOrangeにログイン 管理コンソール.
  • ソフトウェアの制限をクリック カスタマイズ >> ログインと登録のブランディング ダッシュボードの左側のメニューにあります。
  • In 基本設定、 をセットする 組織名 custom_domain 名として。
  • 詳しくはこちら Save設定すると、ブランドログインURLは次の形式になります。 https://<custom_domain>.xecurify.com/moas/login
    • Palo Alto Networks の多要素認証: ブランディングの設定

  • に行く アプリ、をクリックします アプリケーションを追加
    • Palo Alto Networks の MFA: アプリケーションの追加

  • In アプリケーションを選択、 select RADIUS (VPN) アプリケーション タイプのドロップダウンから選択します。
    • Palo Alto Networks の 2 要素認証 (XNUMXFA): Radius アプリケーションの作成

  • ソフトウェアの制限をクリック パロアルトネットワークス アプリケーションタブ。アプリケーションが見つからない場合は、 Radius クライアント アプリケーションタブ。
    • Palo Alto NetworksのMFA: Radiusクライアントをクリック

  • ソフトウェアの制限をクリック 「RADIUS IP を表示」 Radius サーバーの IP を取得します。
    • Palo Alto Networks の 2FA: ドキュメント セクション

  • Radius クライアントを構成するために必要な Radius サーバー IP をコピーして保存します。
    • Palo Alto Networks の 2FA/MFA: Radius サーバー IP

  • Radius クライアントを追加するには、以下の詳細を設定します。
    • Palo Alto Networks の 2 要素認証: Radius クライアントの追加

    名前を表示します。 参照用の名前。
    クライアント IP: Radius 認証要求を送信する VPN サーバーの IP アドレス。
    共有秘密: セキュリティキー。
    例えば 「共有シークレット」
    (これを保管してください。VPN サーバーで同じ設定を行う必要があります)。
  • 詳しくはこちら 次へ.
  • 属性マッピング タブで、応答としてカスタム属性を送信する場合は、トグルを有効にします。
    • Palo Alto Networksの多要素認証: 次へをクリック

  • 応答としてグループを送信するには、ベンダー グループ属性 ID については以下の表を参照してください。
    業者名 ベンダー属性 値型 属性
    Cisco ASA ASA グループポリシー ユーザー グループ
    フォーティネット フォーティネットグループ名 ユーザー グループ
    パロアルト PaloAlto ユーザー グループ ユーザー グループ
    SonicWall Sonicwall ユーザー グループ ユーザー グループ
    Citrix Citrix ユーザー グループ ユーザー グループ
    デフォルト(ベンダーがリストにない場合に使用できます) フィルターID ユーザー グループ
  • 値の型と属性は要件に応じて変更できます。
  • ソフトウェアの制限をクリック 次へ をクリックして次に進みます。
  • MFAデバイスに移動する 政策 タブをクリックし、 ポリシーを追加
    • Palo Alto NetworksのMFA: ポリシーに切り替えて、ポリシーの追加をクリックします

  • Radius クライアントの次のポリシー詳細を構成します。
    • Palo Alto Networks の MFA: Radius クライアントを選択してください

    グループ名: ポリシーが適用されるグループ。
    ポリシー名: ポリシー名を指定する任意の識別子。
    最初の要素 このポリシーに関連付けられているユーザーのログイン方法。
    2要素認証を有効にする このポリシーに関連付けられているユーザーのログイン時に 2 番目の要素を有効にします。
    適応認証を有効にする このポリシーに関連付けられているユーザーのログインに対して適応認証を有効にします。
  • 上記の詳細を設定したら、 送信
    • 注意: あなたが従うことができます このガイドMSCHAPv2 プロトコルを使用して Radius MFA を構成する場合。

    注: 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する オンプレミス バージョンによっては、接続をテストする前に以下の手順に従ってください。

    オンプレミス版のみ

    ファイアウォール ポートを開きます。

  • RADIUSリクエストを受信するには、 UDPトラフィックを開く ポート上 1812と1813 オンプレミス IdP がデプロイされているマシン用。
  • ホスティングマシンが Windows マシンならフォローできる この の資料をご参照ください。
  • ホスティングマシンが Linux マシンならフォローできる この の資料をご参照ください。

    • 注: マシンが AWS でホストされている場合は、AWS パネルからポートを有効にします。

2. Palo Alto NetworksでRADIUSを設定する

  • にログインします。 Palo Alto Networks 管理インターフェース.
    • Palo Alto Networks MFA 2FA XNUMX要素認証: Palo Alto Networks管理インターフェイスを選択

  • ソフトウェアの制限をクリック デバイスタブ >> サービスプロファイル、次にRADIUS。
  • オンをクリックします ボタンを追加 RADIUSサーバー プロフィール。
  • 次のウィンドウが表示されます。
    • Palo Alto Networks MFA 多要素認証: Rdius サーバー プロファイル

  • "の名前「」フィールドに、この特定の Radius サーバー プロファイルの適切な識別子を入力します。
  • 増加 "タイムアウト」を少なくとも 30 に設定します (プッシュ通知、帯域外認証方法、または電話認証を使用する場合は 120 を推奨)。
  • 変更 "認証プロトコル"へ PAP.
  • PAN-OS 7.x ユーザーは、次のコマンドを使用して CLI でプロトコルを設定する必要があります: set authentication radius-auth-type pap。
  • クリック "サーバー" >> 追加ボタン、RADIUS サーバーを追加します。その後、以下の情報を入力します。
    • エリア
    サーバー miniOrange RADIUS または任意の名前を入力します。
    RADIUS サーバー オンプレミス版の場合: IDP(miniOrange)がインストールされているサーバーのIP
    クラウドバージョンの場合: 取得したRadiusサーバーのIPアドレスを使用します。 Step1。
    秘密 手順 1 で設定された RADIUS 共有シークレット。
    ステップ1では、共有シークレットの例を次のように設定しました。 「共有シークレット」
    ポート 1812
  • ソフトウェアの制限をクリック [OK]

認証プロファイルの作成

  • ソフトウェアの制限をクリック デバイスタブ >> 認証プロファイル.
  • ソフトウェアの制限をクリック 追加 新しい認証プロファイルを追加し、次の情報を入力します。
  • 次のウィンドウが表示されます。
    • Palo Alto Networks の MFA 2FA XNUMX 要素認証:認証プロファイル

    エリア
    名前 miniOrange または任意の名前を入力します。
    タイプ ドロップダウンリストからRADIUSを選択します
    サーバー プロファイル ステップ7で作成したRadiusサーバープロファイルを選択します。
  • 現在の画面の残りのオプションはデフォルトのままにします
  • クリック 高機能 タブには何も表示されないことに注意してください。
  • この認証プロファイルを適用するグループを選択するか、「" グループ
  • ソフトウェアの制限をクリック Ok.

新しい認証プロファイルを使用して GlobalProtect ポータルを構成する

  • MFAデバイスに移動する ネットワークタブ >> GlobalProtect >> ポータル.
    注:まだポータルを作成していない場合は、Palo Altoのガイドを参照してください。 GlobalProtectポータルへのアクセスを設定する
  • ポップアップ ウィンドウの [認証] タブで、ポータルの SSL/TSL サービス プロファイルを選択します。
  • 左下の クライアント認証 クリック 追加.
  • クライアント認証に名前を付け、作成した認証プロファイルを選択します。 ステップ8(認証プロファイルの作成)
    • Palo Alto Networks 2FA XNUMX要素認証

  • (オプション) GlobalProtect Gatewayで認証オーバーライドCookieをまだ使用していない場合は、1つのゲートウェイセッション中にクライアントの再接続時にminiOrange認証要求を最小限に抑えるために、これを有効にすることができます。 GlobalProtect Cookie 認証ドキュメント この機能を有効にする前に、十分に理解しておく必要があります。
    クリック エージェント 左側のタブをクリックし、 クライアント設定 タブ。設定の名前をクリックして開きます。
  • (オプション) 「認証オーバーライド」タブで、認証オーバーライド用の Cookie を生成および受け入れるオプションをオンにします。Cookie の有効期間を設定し、Cookie で使用する証明書を選択します。Cookie の有効期間中に再接続する場合、ユーザーは最初の成功後に 2FA を繰り返す必要がないことに注意してください。
    • パロアルトネットワークス MFA

  • ソフトウェアの制限をクリック Ok.

3. ユーザーディレクトリを構成する

miniOrangeは、さまざまな外部ソースからのユーザー認証を提供します。 ディレクトリ (ADFS、Microsoft Active Directory、Microsoft Entra ID、OpenLDAP、Google、AWS Cognito など) アイデンティティプロバイダー (Okta、Shibboleth、Ping、OneLogin、KeyCloak など) データベース (MySQL、Maria DB、PostgreSQLなど) さらに多くの既存のディレクトリ/ユーザー ストアを構成したり、miniOrange でユーザーを追加したりできます。

注意: あなたが従うことができます このガイドOAuth パスワード付与を使用して、Microsoft Entra ID に保存されているユーザーで Radius MFA を構成する場合。


AD/LDAPをユーザーディレクトリとして設定する

miniOrangeをユーザーディレクトリとして設定する


Microsoft Active Directory、Microsoft Entra ID、OpenLDAP などの既存のディレクトリを構成します。

  • ソフトウェアの制限をクリック ID プロバイダー >> ID プロバイダーの追加 ダッシュボードの左側のメニューにあります。
    • 2FA/MFA: 外部ディレクトリの設定

  • IDプロバイダーの選択で、 AD/LDAP ディレクトリ をドロップダウンから選択します。
    • 2FA/MFA: ディレクトリの種類としてAD/LDAPを選択します。

  • 次に検索 AD/LDAP それをクリックします。
    • 2FA/MFA: ディレクトリの種類としてAD/LDAPを選択します。

  • MINIORANGE に LDAP 設定を保存する: miniOrange の設定を維持する場合は、このオプションを選択してください。Active Directory がファイアウォールの背後にある場合は、AD への受信リクエストを許可するためにファイアウォールを開く必要があります。
  • LDAP 構成をオンプレミスに保存: 設定を社内に保持し、社内のADへのアクセスのみを許可する場合は、このオプションを選択します。ダウンロードしてインストールする必要があります。 miniOrange ゲートウェイ あなたの前提に基づいて。
    • 2FA/MFA: ad/ldap外部ディレクトリを選択

  • LDAPを入力してください 表示名 の三脚と 識別する 名前。
  • 選択する ディレクトリの種類 as Active Directory.
  • LDAPサーバーのURLまたはIPアドレスをLDAPに対して入力します サーバー URL フィールド。
  • 以下を行うには、 試験用接続 ボタンを押して接続が成功したかどうかを確認します LDAPサーバー.
    • 2FA/MFA: LDAP サーバーの URL 接続を構成する

  • Active Directoryで、ユーザーコンテナ/OUのプロパティに移動し、 識別名属性バインドアカウントには、Active Directory のディレクトリ参照に必要な最低限の読み取り権限が必要です。また、プロビジョニング(ユーザーまたはグループの作成、更新、削除など)を伴うユースケースの場合は、アカウントに適切な書き込み権限も付与する必要があります。
    • 2FA/MFA: ユーザーバインドアカウントのドメイン名を構成する

  • 有効なバインド アカウント パスワードを入力します。
  • 以下を行うには、 バインドアカウント資格情報のテスト LDAP 接続の LDAP バインド資格情報を確認するボタン。
    • 2FA/MFA: バインドアカウントの資格情報を確認する

  • 検索ベース ディレクトリ内でユーザーの検索が開始される場所です。識別名を取得したのと同じ場所から取得します。
    • VPN 2FA: ユーザー検索ベースを構成する

  • ドロップダウンメニューから適切な検索フィルターを選択します。 単一グループ フィルターのユーザー or 複数グループフィルターのユーザーを置き換えますグループDN> 検索フィルターに、ユーザーが所属するグループの識別名を入力します。カスタム検索フィルターを使用するには、 「カスタム フィルターを作成する」 オプションを選択し、それに応じてカスタマイズします。
    • VPN 2FA: ユーザー検索フィルターを選択

  • 以下を行うには、 次へ ボタン、またはに移動します ログインオプション タブには何も表示されないことに注意してください。
  • ADの設定時に以下のオプションを設定することもできます。有効化 LDAPをアクティブ化する AD/LDAPからユーザーを認証するには、 次へ ユーザーストアを追加するためのボタン。
    • VPN 2FA: LDAPオプションを有効にする

    以下に属性のリストと、有効にした場合の動作を示します。これに応じて有効/無効にすることができます。

    属性 詳細説明
    LDAPをアクティブ化する 有効にすると、すべてのユーザー認証はLDAP認証情報を使用して行われます。
    フォールバック認証 LDAP認証に失敗した場合、ユーザーはminiOrangeを通じて認証されます。
    管理者ログインを有効にする これを有効にすると、miniOrange管理者ログインはLDAPサーバーを使用して認証されます。
    ユーザーにIdPを表示する このオプションを有効にすると、このIdPはユーザーに表示されます
    miniOrangeでユーザーを同期する LDAP認証後、miniOrangeにユーザーが作成されます。

  • 以下を行うには、 次へ ボタン、またはに移動します Attributes タブには何も表示されないことに注意してください。

ADからの属性マッピング

  • デフォルトではuserName、firstName、lastName、emailが設定されています。下にスクロールしてクリックしてください。 Save ボタンをクリックします。Active Directoryから追加の属性を取得するには、 構成された属性を送信する左側に、アプリケーションに公開する名前を入力します。右側に、Active Directoryの属性名を入力します。例えば、Active Directoryから会社属性を取得し、それを組織名として設定済みアプリケーションに送信する場合は、次のように入力します。

    SP に送信される属性名 = 組織
    IDPからの属性名 = 会社

    • ADからの属性マッピング

    ADからの属性マッピング

  • 以下を行うには、 次へ ボタン、またはに移動します プロビジョニング タブには何も表示されないことに注意してください。

ADからのユーザーのインポートとプロビジョニング

接続のテスト

  • ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 試験用接続.
    • VPN 2FA: AD/Ldap接続をテストする

  • LDAP 構成を確認するためにユーザー名とパスワードの入力を求めるポップアップが表示されます。
    • VPN 2FA: ユーザー名とパスワードを入力してLDAP接続をテストします

  • On Successful: LDAP サーバーに接続すると、成功メッセージが表示されます。
    • VPN 2FA: LDAPサーバーへの接続に成功しました

テスト属性マッピング

  • ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 テスト属性マッピング.
    • VPN 2FA: 外部ディレクトリで、「選択」をクリックし、「属性マッピングのテスト」をクリックします。

  • ポップアップが表示され、ユーザー名を入力してクリックします。 ホイール試乗.
    • VPN 2FA: ユーザー名を入力して属性マッピング構成をテストします

  • テスト属性マッピング結果が表示されます。
    • VPN 2FA: ユーザーのマッピングされた属性を取得する

AD を外部ディレクトリとしてセットアップする構成が完了しました。


注意: 私たちを参照してください ガイド Windows サーバーに LDAP をセットアップします。

1. miniOrangeでユーザーを作成する

  • ソフトウェアの制限をクリック ユーザー >> ユーザーリスト >> ユーザーの追加.
    • VPN 2FA: miniOrange にユーザーを追加する

  • ここで、パスワードなしでユーザーの詳細を入力し、 ユーザーの作成
    • MFA: ユーザーの詳細を追加する

  • ユーザーの作成が成功すると通知メッセージが表示される 「エンドユーザーが正常に追加されました」 ダッシュボードの上部に表示されます。
    • 2要素認証: ユーザーの詳細を追加する

  • ソフトウェアの制限をクリック オンボーディングステータスタブ登録したメールIDでメールを確認し、アクションを選択してください パスワードリセットリンクを記載したアクティベーションメールを送信する from アクションを選択 ドロップダウンリストをクリックし、 Apply
    • 2FA: メールアクションを選択

  • さて、あなたのメールIDを開いてください。miniOrangeから受信したメールを開いて、 アカウントのパスワードを設定します。
  • 次の画面でパスワードと確認パスワードを入力し、 シングルサインオン(SSO)パスワードのリセット
    • 多要素認証: ユーザーパスワードのリセット
  • これで、資格情報を入力して miniOrange アカウントにログインできます。

2. CSV ファイルをアップロードして miniOrange にユーザーを一括アップロードします。

  • MFAデバイスに移動する ユーザー >> ユーザーリスト。 をクリックしてください ユーザーを追加する
    • 2FA: 一括アップロードでユーザーを追加する

  • 一括ユーザー登録 サンプルのcsv形式をダウンロード コンソールから、指示に従ってこの csv ファイルを編集します。
    • 2要素認証: サンプルのcsvファイルをダウンロード

  • ユーザーを一括アップロードするには、ファイルを選択し、 カンマ区切りの .csv ファイル形式 次に「アップロード」をクリックします。
    • 2FA: 一括アップロードユーザー

  • csv ファイルが正常にアップロードされると、リンクを含む成功メッセージが表示されます。
  • そのリンクをクリックすると、アクティベーション メールを送信するユーザーのリストが表示されます。アクティベーション メールを送信するユーザーを選択し、[アクティベーション メールの送信] をクリックします。選択したユーザーにアクティベーション メールが送信されます。

ユーザー グループの作成 (推奨)

AD ユーザー グループ

miniOrange ユーザーグループ


  • この手順では、Active Directory からユーザー グループをインポートし、プロビジョニングします。
  • に行く プロビジョニング。 切り替える プロビジョニングのセットアップ タブを選択 Active Directory ドロップダウンメニューから選択します。
    • Palo Alto Networks の MFA/2 要素認証 (XNUMXFA): Active Directory (AD) を選択

  • 選択する グループのプロビジョニング/デプロビジョニング タブをクリックしてオンに切り替えます インポートグループ オプションを選択します。
  • 入力する ベースDN グループ同期の場合はクリック Save.
    • Palo Alto Networks の MFA/2 要素認証 (XNUMXFA): BaseDN を入力

  • miniOrangeに存在するグループにユーザーを動的に割り当てる場合は、 「ユーザーをグループに割り当てる」
    • Palo Alto Networks の MFA/2 要素認証 (XNUMXFA): インポート グループをオンにする

  • 今すぐに切り替えます グループのインポート オプションと選択 Active Directory ユーザーをインポートする場所。
  • 最後に、をクリックします インポート ボタンをクリックしてください。グループがインポートされます。
    • Palo Alto Networks の MFA/2 要素認証 (XNUMXFA): ユーザー グループが正常にインポートされました

    (Active Directory グループ プロビジョニング (同期) の設定が完了しました。これで、LDAP サーバーでユーザーが作成または変更されるたびに、ユーザーをグループに割り当てるが有効になっている場合は、LDAP サーバーのユーザー グループ属性が自動的に同期され、miniOrange でそれに応じてユーザー グループが割り当てられるか変更されます。)

  • 選択する グループ >> グループの管理 左のパネルから。
  • 以下を行うには、 グループを作成 ボタンを押します。
    • Palo Alto Networks の MFA/2 要素認証 (XNUMXFA) グループ管理

  • 適切な グループ名 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します グループを作成.
    • Palo Alto Networks の MFA/2 要素認証 (XNUMXFA) グループの作成

  • このガイドでは、名前でグループを作成しました VPN_グループ。
  • グループにさまざまなメンバーを割り当てるには、 ユーザーの割り当て グループ リスト内のグループに関連付けられたオプション。
    • Palo Alto Networks ユーザー割り当て用の MFA/2 要素認証 (XNUMXFA)

  • このグループに割り当てる必要があるユーザーを選択します。次に、 グループに割り当てる アクションドロップダウンの選択で、[適用]ボタンをクリックします。
    • Palo Alto Networks のグループへの割り当てにおける MFA/2 要素認証 (XNUMXFA)

  • これらのグループは複数の 2FAポリシー アプリケーションについて。


4. Palo Alto NetworksのMFAを設定する

注意: あなたが従うことができます このガイドエンドユーザー向けに MFA をカスタマイズして登録する場合。


  • ここでは、 ポリシーを構成する 作成したユーザーグループ このステップ Palo Alto Networks VPN アプリケーションに関連付けます。
  • ソフトウェアの制限をクリック ポリシー >> アプリ ログイン ポリシー。
    • Palo Alto Networks アプリ認証ポリシーの MFA/2 要素認証 (XNUMXFA)

  • ソフトウェアの制限をクリック ポリシーを追加
  • アプリケーションセクションで、 RADIUS アプリ 手順 1 で先ほど構成したものです。
  • 必要なユーザーグループを選択してください グループ名 そして、入力します。 ポリシー名.
  • このガイドでは、 パスワードのみ のための政策 「VPN_グループ」これにより、VPN_Group メンバーのみが 2 番目の要素なしで VPN サービスにアクセスできるようになります。
  • ポリシー設定が完了したら、 送信 ポリシーを追加します。
    • Palo Alto Networks アプリの MFA/2 要素認証 (XNUMXFA) の追加ポリシー


5. Palo Alto Networks MFAをテストする

  • にログインします GlobalProtect クライアント 入力してください ユーザー名とパスワード.
    • Palo Alto Networks 多要素認証: global-protect-client

  • 2段階認証を有効にしている場合は、XNUMX段階認証コードの入力を求められます。 2ファクタ認証 miniOrangeポリシーで。
  • 2段階認証コードを入力すると、 パロアルトネットワークVPN。

GlobalProtectからの切断

  • 以下を行うには、 GlobalProtectアイコン.
    • Palo Alto Networks 2要素認証: グローバル保護アイコンに移動

  • ソフトウェアの制限をクリック 切断.
    • Palo Alto Networks 2FA: 切断オプションを選択


トラブルシューティング

miniOrange 管理ダッシュボードで RADIUS ユーザー監査ログを確認するにはどうすればよいですか?

  • にログインします miniOrange 管理ダッシュボード.
  • ソフトウェアの制限をクリック レポート >> Radius ユーザー認証レポート.
    • Palo Alto Networks MFA 2FA: 認証レポート

  • Enter エンドユーザー識別子 の三脚と 日付範囲.
  • ソフトウェアの制限をクリック 検索 .
    • Palo Alto Networks MFA: エンドユーザー認証ログ

認証プロファイルをテストするにはどうすればよいですか?

  • 次のコマンドを入力して認証プロファイルをテストできます。
    • admin@PA-3060> test authentication authentication-profile <authentication-profile-name> username <username> password
  • ユーザー アカウントに関連付けられたパスワードの入力を求められます。

    • プロファイル名は大文字と小文字が区別されます。また、認証プロファイルにユーザー名修飾子が定義されている場合は、ユーザー名とともに入力する必要があります。たとえば、ユーザー名修飾子が %USERINPUT%@%USERDOMAIN% の場合、ドメイン acme.com の xyz という名前のユーザーの場合は、ユーザー名として xyz@acme.com を入力する必要があります。

よくある質問(FAQ)

多要素認証 (MFA) とは何ですか?

多要素認証 (MFA) は、会社のリソース、アプリケーション、または VPN (この場合は Palo Alto Networks) にアクセスするために、ユーザーが 2 つ以上の要素で認証することを要求する認証方法です。多要素認証 (MFA) を有効にすると、ユーザーはユーザー名とパスワードとは別に追加の検証要素を提供する必要があり、組織のリソースのセキュリティが強化されます。 多要素認証 (MFA) の詳細については、こちらをご覧ください。

MFA の認証要素は通常、次のカテゴリに分類されます。

  • 知識要素(知っていること)
  • 所有要素(持っているもの)
  • 内在要因(あなたが何者であるか)
  • 場所要因(あなたがいる場所)
  • 行動要因(あなたが行う何か)

RADIUS を使用した 2FA 認証の種類:

に応じて VPNクライアント2 要素認証には XNUMX つの形式があります。

  • RADIUS チャレンジをサポートする VPN クライアント。
  • RADIUS チャレンジをサポートしていない VPN クライアント。

miniOrange がサポートする Palo Alto Networks のさまざまな 2FA/MFA 方式は何ですか?

miniOrangeは複数の 2FA/MFA認証 Palo Alto Networksの安全なアクセス方法、 プッシュ通知、ソフトトークン、Microsoft / Google Authenticatorなど.

認証タイプ方法サポート
miniOrange 認証システム ソフトトークン
miniOrange プッシュ通知
モバイルトークン
Authyオーセンティケーター
SMSSMS 経由の OTP
リンク付きSMS
メールアドレス電子メールによる OTP
リンク付きメール
通話認証OTPオーバーコール
ハードウェアトークン YubiKey ハードウェア トークン
ハードウェアトークンの表示


さらなる参考文献

   '

x

*
*



*






 ご返答ありがとうございます。 すぐにご連絡させていただきます。

職場のメールIDを入力してください

デモをスケジュールしますか?

無料デモ申込み
  



その他のアイデンティティおよびアクセス管理製品

シングル・サインオン

従業員と顧客のIDをクラウドまたはオンプレミスのアプリにシームレスにログイン

さらに詳しく

多要素認証

追加の認証レイヤーによるIDの安全なアクセス

さらに詳しく

適応認証

IP、デバイス、時間、場所に基づいてユーザーアクセスをブロックまたは許可する

さらに詳しく

ライフサイクル管理

アプリへのユーザーのプロビジョニングとデプロビジョニングを管理および自動化する

もっと詳しく知る