Cómo configurar G- la autenticación de Suite para Global SAML Protect
41476
Created On 06/04/20 20:16 PM - Last Modified 03/26/21 16:18 PM
Objective
Este documento ha sido creado para proporcionar una configuración básica GP para la integración con Suite como el Por favor SAML G- IDP
preconfigurar un portal y una puerta de enlace utilizando uno de nuestros modos de inicio de sesión
Para obtener ayuda sobre la configuración de Global Protect no relacionada con la configuración en la SAML consola firewall de G- Suite, revise los siguientes documentos:
Configuración básica GlobalProtect con bajo demanda
Configuración básica GlobalProtect con pre-inicio de sesión
Configuración básica GlobalProtect con inicio de sesión de usuario
Environment
- G-Suite SAML
- Pan-OS Cortafuegos
- Global proteger autenticación
Procedure
Nota: Tenga en cuenta que SAML ACS URL , Entity , Portal / , y Certificado de portal ID FQDN IP SAN 's deben coincidir para crear una experiencia perfecta para el usuario. Si estos no coinciden, es posible que vea problemas con la verificación de certificación durante la redirección. Para obtener más información, consulte este documento: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POXlCAO
paso 1. Inicie sesión en G- el
paso 2 de la consola de administración de Suite. Vaya a Aplicaciones > SAML Aplicación
paso 3. En la SAML consola aplicaciones, seleccione el símbolo de adición amarilla en "Habilitar SSO para una SAML aplicación" Paso
4. En la ventana de diálogo, seleccione "Configurar mi propia aplicación personalizada"
Paso 5. Seleccione la opción 2 enlace de descarga, IDP "metadatos Descargar".
- Seleccione "Siguiente" después de descargar correctamente el archivo de metadatos
Paso 6. Asigne un nombre a la aplicación, opcionalmente también puede cargar una imagen para su aplicación personalizada aquí.
- Seleccione "Siguiente" una vez listo
Paso 7. Aquí configuraremos los detalles del proveedor de servicios, como ACS URL y Entity , siendo el proveedor de servicios el ID firewall .
- Obtendremos esta información generando un archivo de metadatos del proveedor de servicios en el firewall archivo .
- Deje esta ventana en blanco por ahora, trabajaremos en el firewall para obtener esta información.
Paso 7A. En primer lugar, debemos importar los metadatos desde el IDP paso 5 para generar los SP metadatos y continuar con la configuración de la aplicación.
- En la firewall pestaña de dispositivo > proveedor de SAML identidades
- Seleccione "Importar" y vaya a importar el archivo de metadatos que descargamos en el IDP paso 5.
- Anularemos la selección de "validar el certificado de proveedor de identidades" y "validar la firma de metadatos" si se selecciona después de la importación.
(Nota: Cuando haya autofirmado Certificado desde , no podrá habilitar validar el certificado del IDP proveedor de identidades. Asegúrese de que está en PAN-OS 8.1.15, 9.0.9, 9.1.3 o posterior para mitigar la exposición a https://security.paloaltonetworks.com/ CVE-2020 -2021).
- Seleccione OK cuándo haya terminado.
Paso 7B.A continuación, vaya al perfil de autenticación de > del dispositivo > agregue un nuevo perfil.
Especifique lo siguiente en el perfil:
- Tipo de > de la pestaña de autenticación: SAML
- Ficha de autenticación > perfil de servidor Idp: (perfil Idp creado en el paso 7b)
- Ficha avanzada > Permitir lista > Seleccione Agregar > todo
- El resto de la configuración se dejará como predeterminada, seleccione OK una vez hecho.
Nota: Realice una confirmación en este paso una vez que se configure el perfil de autenticación.
Paso 7C. Después de confirmar la configuración, vuelva al perfil de autenticación de device >.
- En la columna de autenticación debería ver un hipervínculo de "metadatos",selecciónelo.
Paso 7D.Al seleccionar el hipervínculo se abrirá una ventana de diálogo con la etiqueta SAML "Exportación de metadatos". Por favor revise
- Servicio desplegable: Seleccione "Global-Protect"
- IP o nombre de host: Seleccione el nombre de host o ip de los portales/puertas de enlace donde está previsto que se utilice.
- Seleccione OK y el archivo de metadatos comenzará a descargarse automáticamente en su estación de SP trabajo.
Paso 7E. Abra el SP archivo de metadatos y busque el EntityID y el de ACS URL entityid.
- Ahora vuelve a la G- consola de Suite y conecta las URL a la configuración de la aplicación, Selecciona Siguiente una vez terminado.
Nota: Otros campos se dejarán como predeterminados para este documento.
Paso 8. Para esta configuración no entraremos en asignaciones de atributos, seleccione finalizar. La aplicación ya debería estar terminada y verla en la G- consola de Suite.
Paso 9. Ahora que la aplicación IDP está completa, usaremos el perfil de autenticación creado anteriormente para nuestro GP método de inicio de sesión.
Especifique el perfil de autenticación de GSuite del paso 7B en la configuración del portal/puerta de enlace
- Para el Portal: Portal de > de red > Seleccione el perfil de autenticación > de autenticación de > del portal > autenticación de cliente
- Para la puerta de enlace: Puertas de enlace de > de red > Seleccione el perfil de autenticación de > de puerta de enlace > autenticación de cliente >
- Confirme los cambios realizados aquí, debemos estar listos para probar la configuración.
- Inicie una conexión con el portal desde la aplicación cliente
- A redirección a su IDP aparecerá página de inicio de sesión de su cuenta de Google. Inicio de sesión con sus G- credenciales de Suite
- Si el usuario está inscrito en 2FA, se le pedirá 2FA auth después de su contraseña.
- El usuario debe ser redirigido de nuevo al proveedor de servicios y conectado después de autenticarse correctamente con G- Suite.