Comment configurer G- SAML l’authentification suite pour Global Protect
41468
Created On 06/04/20 20:16 PM - Last Modified 03/26/21 16:18 PM
Objective
Ce document a été créé pour fournir une configuration de GP base pour SAML l’intégration avec Suite que le G- IDP
S’il vous plaît pré-configurer un portail et passerelle en utilisant l’un de nos modes logon
Pour l’assistance sur la configuration Global Protect sans rapport avec la configuration sur la console et SAML Suite firewall G- s’il vous plaît examiner les documents ci-dessous:
Configuration GlobalProtect de base à la demande
Environment
- G-Suite SAML
- Pan-OS Pare-feux
- Global protection authentification
Procedure
Note: Sachez que SAML ACS URL , Entité , Portail / , et Portal Certificate doit tous correspondre à créer une ID expérience transparente pour FQDN IP SAN l’utilisateur. Si ceux-ci ne correspondent pas, vous pouvez voir des problèmes avec la vérification de certification pendant la redirection. Pour plus d’informations, veuillez consulter ce document : https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POXlCAO
étape 1. Connectez-vous G- à suite Admin Console Étape
2. Accédez aux applications > SAML
l’étape 3 des applications. Dans la SAML console Apps, sélectionnez le symbole ajout jaune à l’étape SSO SAML
4 « Activer une application ». Dans la fenêtre de dialogue, sélectionnez « Configurer ma propre application personnalisée »
Étape 5. Sélectionnez le lien de téléchargement de l’option 2, " IDP téléchargement de métadonnées « .
- Sélectionnez « Suivant » après avoir téléchargé avec succès le fichier de métadonnées
Étape 6. Nommez l’application, en option vous pouvez télécharger une image pour votre application personnalisée ici aussi.
- Sélectionnez « Suivant » une fois prêt
Étape 7. Ici, nous allons configurer les détails fournisseur de services ACS URL tels que et entité , le fournisseur de services étant le ID firewall .
- Nous recevrons ces informations en générant un fichier de métadonnées fournisseur de services sur le firewall .
- Laissez cette fenêtre en place et vide pour l’instant, nous allons travailler sur firewall le pour obtenir cette information.
Étape 7A. Tout d’abord, nous devons IDP importer les métadonnées de l’étape 5 pour générer SP les métadonnées et continuer avec la configuration de l’application.
- Sur la navigation firewall vers l’onglet périphérique > SAML d’identité
- Sélectionnez « Importation » et naviguez pour importer le fichier IDP de métadonnées que nous avons téléchargé à l’étape 5.
- Nous ne sélectionnerons pas « valider le certificat de fournisseur d’identité » et « validerons la signature des métadonnées » si elles sont sélectionnées après l’importation.
(Remarque : Lorsque vous avez un certificat autosigné à partir IDP de, vous ne serez pas en mesure d’activer le certificat de fournisseur d’identité validé. S’il vous plaît assurez-vous que vous PAN-OS êtes sur 8.1.15, 9.0.9, 9.1.3 ou plus tard pour atténuer l’exposition à https://security.paloaltonetworks.com/ CVE-2020 -2021).
- Sélectionnez OK une fois terminé.
Étape 7B.Ensuite, naviguez vers le profil >'authentification > pour ajouter un nouveau profil.
Spécifiez ce qui se passe ci-dessous dans le profil :
- Onglet d’authentification > type : SAML
- Onglet d’authentification > le profil du serveur Idp : (profil idp créé à l’étape 7b)
- Onglet avancé > autoriser la liste > sélectionner Ajouter > tous les
- Le reste du config sera laissé par défaut, sélectionnez une OK fois fait.
Remarque : Effectuez un commit à cette étape une fois que le profil d’authentification est configuré.
Étape 7C. Après avoir commis le config, revenez à Device > Authentication Profile.
- Sous la colonne d’authentification, vous devriez voir un lien hypertexte « métadonnées »,sélectionnez-le.
Étape 7D.La sélection du lien hypertexte ouvrira une fenêtre de dialogue portant la mention « SAML Exportation de métadonnées ». S'il vous plaît examiner
- Baisse de service : Sélectionnez « Global-Protect »
- IP ou Nom d’hôte : Sélectionnez le nom d’hôte ou ip des portails/passerelles où cela est prévu pour être utilisé.
- Sélectionnez OK et SP le fichier Métadonnées commencera à télécharger automatiquement sur votre poste de travail.
Étape 7E. Ouvrez SP le fichier de métadonnées et trouvez votre ACS URL entityID et votre entité.
- Maintenant, revenez à G- la console Suite et branchez les URL dans la configuration de l’application, Sélectionnez Ensuite une fois terminé.
Remarque : D’autres champs seront laissés par défaut pour ce document.
Étape 8. Pour cette configuration, nous n’allons pas entrer dans les mappages d’attributs, s’il vous plaît sélectionnez finition. Votre application doit maintenant être terminée et visualisable dans la G- console suite.
Étape 9. Maintenant que votre application sur le est IDP terminée, nous allons utiliser le profil d’authentification précédemment créé pour notre GP méthode logon.
Spécifiez le profil GSuite Auth de l’étape 7B dans votre configuration portail/passerelle
- Pour le portail : Portail de > réseau > votre portail et > authentification >'authentification client > profil d’authentification
- Pour la passerelle : Passerelles de > réseau > votre passerelle pour l’authentification >'authentification >'authentification client > profil d’authentification
- Engagez les modifications apportées ici, nous devrions être prêts à tester la configuration.
- Démarrer une connexion au portail à partir de l’application client
- A la redirection vers IDP votre volonté d’apporter la page de connexion de votre compte Google. Logon en utilisant vos G- informations d’identification Suite
- Si l’utilisateur est inscrit à 2FA, ils seront invités pour 2FA auth après leur mot de passe.
- L’utilisateur doit être redirigé vers le fournisseur de services et connecté après avoir réussi à authentifier G- avec Suite.