Konfigurieren der G- SAML Suite-Authentifizierung für Global Protect
41470
Created On 06/04/20 20:16 PM - Last Modified 03/26/21 16:18 PM
Objective
Dieses Dokument wurde erstellt, um eine grundlegende Konfiguration für die Integration mit Suite bereitzustellen, da die Bitte ein Portal und Gateway mit einem unserer Anmeldemodi vorkonfigurieren, um Unterstützung bei der Konfiguration von Global Protect zu erhalten, die GP nichts mit der Konfiguration auf der SAML G- IDP
suite-Konsole zu tun SAML firewall G- hat, lesen Sie bitte die folgenden Dokumente:
Grundkonfiguration GlobalProtect mit On-Demand
Environment
- G-Suite SAML
- Pan-OS Firewalls
- Globalen Schutz der Authentifizierung
Procedure
Hinweis: Beachten Sie, dass SAML ACS URL , Entity , Portal / und ID FQDN IP Portal-Zertifikate SAN müssen alle übereinstimmen, um eine nahtlose Erfahrung für den Benutzer zu schaffen. Wenn diese nicht übereinstimmen, können während der Umleitung Probleme mit der Zertifizierungsüberprüfung auftreten. Weitere Informationen finden Sie in diesem Dokument: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POXlCAO
Schritt 1. Melden Sie sich bei G- Suite Admin Console Step 2
an. Navigieren Sie zu Apps > SAML
Apps Schritt 3. Wählen SAML Sie in der Apps-Konsole das gelbe Zusatzsymbol in SSO Schritt 4 "Für eine SAML Anwendung aktivieren"
aus. Wählen Sie im Dialogfenster "Meine eigene benutzerdefinierte App einrichten"
Schritt 5 aus. Wählen Sie die Option 2 Download-Link, IDP "Metadaten Download".
- Wählen Sie "Weiter", nachdem Sie die Metadatendatei erfolgreich heruntergeladen haben.
Schritt 6. Benennen Sie die Anwendung, optional können Sie hier auch ein Bild für Ihre benutzerdefinierte Anwendung hochladen.
- Wählen Sie "Weiter" sobald sie fertig sind
Schritt 7. Hier konfigurieren wir die Service Provider-Details wie ACS URL und Entity , der Dienstanbieter ist der ID firewall .
- Wir erhalten diese Informationen, indem wir eine Dienstanbieter-Metadatendatei auf der firewall generieren.
- Lassen Sie dieses Fenster auf und leer für jetzt, werden wir firewall arbeiten, um diese Informationen zu erhalten.
Schritt 7A. Zuerst müssen wir die IDP Metadaten aus Schritt 5 importieren, um die Metadaten zu generieren und mit der SP Anwendungskonfiguration fortzufahren.
- Navigieren firewall zur Registerkarte Gerät > SAML Identitätsanbieter
- Wählen Sie "Importieren" und navigieren Sie, um die Metadatendatei zu importieren, die IDP wir in Schritt 5 heruntergeladen haben.
- Wir deaktivieren "Identitätsanbieterzertifikat überprüfen" und "Metadatensignatur überprüfen", wenn diese nach dem Import ausgewählt wurde.
(Hinweis: Wenn Sie ein selbst signiertes Zertifikat von haben, können Sie das IDP Zertifikat "Identitätsanbieter überprüfen" nicht aktivieren. Bitte stellen Sie sicher, dass Sie sich auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder höher befinden, um die Exposition gegenüber https://security.paloaltonetworks.com/ CVE-2020 -2021zu verringern.
- Wählen Sie OK aus, wenn Sie fertig sind.
Schritt 7B.Als Nächstes navigieren Sie zum Geräte > Authentifizierungsprofil > fügen Sie ein neues Profil hinzu.
Geben Sie unten im Profil folgendes an:
- Authentifizierungsregisterkarte > Typ: SAML
- Authentifizierungsregisterkarte > Idp-Serverprofil: (Idp-Profil in Schritt 7b erstellt)
- Erweiterte Registerkarte > Liste zulassen > Auswählen > alle
- Der Rest der Konfiguration wird als Standard belassen, wählen Sie OK einmal fertig aus.
Hinweis: Führen Sie in diesem Schritt einen Commit aus, sobald das Authentifizierungsprofil konfiguriert ist.
Schritt 7C. Navigieren Sie nach dem Commit der Konfiguration zurück zum Geräte->-Authentifizierungsprofil.
- In der Authentifizierungsspalte sollte ein "Metadaten"-Hyperlinkangezeigt werden, wählen Sie ihn aus.
Schritt 7D.Wenn Sie den Hyperlink auswählen, wird ein Dialogfenster mit der Bezeichnung SAML "Metadatenexport" geöffnet. Bitte überprüfen Sie
- Service-Dropdown: Wählen Sie "Global-Protect"
- IP oder Hostname: Wählen Sie den Hostnamen oder ip der Portale/Gateways aus, für die dies geplant ist.
- Wählen Sie OK diese Option aus, und die SP Metadatendatei wird automatisch auf Ihre Arbeitsstation heruntergeladen.
Schritt 7E. Öffnen Sie die SP Metadatendatei, und suchen Sie Ihre ACS URL und EntityID.
- Navigieren Sie nun zurück zur G- Suite-Konsole und schließen Sie die URLs an die Konfiguration der App an, wählen Sie Weiter aus, sobald Sie fertig sind.
Hinweis: Andere Felder werden für dieses Dokument als Standard angezeigt.
Schritt 8. Für dieses Setup gehen wir nicht in Attributzuordnungen, wählen Sie bitte Fertigstellen aus. Ihre Anwendung sollte nun fertig und in der G- Suite-Konsole angezeigt werden.
Schritt 9. Nachdem Ihre Anwendung auf der IDP abgeschlossen ist, verwenden wir das zuvor erstellte Authentifizierungsprofil für unsere GP Anmeldemethode.
Geben Sie das GSuite Auth-Profil aus Schritt 7B in Ihrer Portal-/Gateway-Konfiguration an
- Für das Portal: Netzwerk->-Portal > Wählen Sie Ihr Portal > Authentifizierung > Clientauthentifizierung s>-Authentifizierungsprofil
- Für das Gateway: Netzwerk->-Gateways > Wählen Sie Ihr Gateway > Authentifizierung > Clientauthentifizierungs- >-Authentifizierungsprofil
- Commit die Änderungen hier vorgenommen, sollten wir bereit sein, um das Setup zu testen.
- Starten einer Verbindung mit dem Portal über die Clientanwendung
- A Umleitung zu Ihrem IDP wird die Anmeldeseite Ihres Google-Kontos aufrufen. Anmelden mit Ihren G- Suite-Anmeldeinformationen
- Wenn der Benutzer in 2FA registriert ist, wird er nach seinem Kennwort zur Eingabe von 2FA-Auth aufgefordert.
- Der Benutzer sollte zurück zum Dienstanbieter weitergeleitet und nach erfolgreicher Authentifizierung mit Suite verbunden G- werden.