如何为 G- 全球保护配置套件 SAML 身份验证
41462
Created On 06/04/20 20:16 PM - Last Modified 03/26/21 16:18 PM
Objective
本文档的创建 GP 是为了提供与 Suite 集成的基本配置 SAML G- ,因为 IDP
请使用我们的徽标模式之一预先配置门户和网关,
以寻求与 SAML 套件控制台上的配置无关的全球保护配置方面的 firewall 帮助 G- ,请查看以下文档:
Environment
- G-套房 SAML
- Pan-OS 防火墙
- 全球保护身份验证
Procedure
注意: 请注意 SAML ACS URL ,实体 ID 、门户 FQDN / IP 和门户证书 SAN 必须匹配,以便为用户创建无缝体验。 如果这些不匹配,您可能会在重定向过程中看到认证验证的问题。 欲了解更多信息,请参阅此文档:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POXlCAO
第 1 步。 登录到 G- 套件管理控制台
步骤2。 导航到应用> SAML 应用
步骤 3。 在 SAML 应用控制台中,选择黄色添加符号以" SSO 启用 SAML 应用程序"步骤
4。 在对话窗口中,选择"设置自己的自定义应用"步骤
5。 选择选项2下载链接," IDP 元数据下载"。
- 成功下载元数据文件后选择"下一个"
步骤6。 命名应用程序,可选的,你可以上传图片为您的自定义应用程序在这里,以及。
- 准备好后选择"下一个"
步骤7。 在这里,我们将配置服务提供商的详细信息,如 ACS URL 和实体 ID ,服务提供商是 firewall 。
- 我们将通过生成服务提供商元数据文件来获取此信息 firewall 。
- 离开这个窗口,现在空白,我们将努力 firewall 得到这个信息。
第 7A 步。 首先,我们必须 IDP 从步骤 5 导入元数据以生成 SP 元数据并继续应用配置。
- 在 firewall 导航到设备选项卡> SAML 身份提供商
- 选择"导入"并浏览以导入 IDP 我们在第 5 步中下载的元数据文件。
- 如果在导入后进行选择,我们将 取消选择 "验证身份提供商证书"和"验证元数据签名"。
(注: 当您拥有自签名证书时 IDP ,您将无法启用验证身份提供商证书。 请确保您是在 PAN-OS 8.1.15,9.0.9,9.1.3或更晚,以减轻接触 CVE-2020 https://security.paloaltonetworks.com/-2021)。
- OK完成后选择。
步骤 7B。下一步导航到设备>身份验证配置文件>添加一个新的配置文件。
在配置文件中指定以下内容:
- 身份验证选项卡>类型: SAML
- 身份验证选项卡> Idp 服务器配置文件:(在步骤 7b 中创建的 Idp 配置文件)
- 高级选项卡>允许列表>选择添加所有>
- 其余的配置将作为默认值留下, OK 选择一旦完成。
注意:在配置身份验证配置文件后,在此步骤执行提交。
步骤 7C。 提交配置后,导航回设备>身份验证配置文件。
- 在身份验证栏下,您应该看到 一个"元数据"超链接,然后选择它。
步骤7D。选择超链接将打开一个标有" SAML 元数据导出"的对话窗口。 请查看
- 服务下降:选择"全球保护"
- IP 或主机名:选择计划使用门户/网关的主机名或 ip。
- 选择 OK 和 SP 元数据文件将开始自动下载到您的工作站。
步骤7E。 打开 SP 元数据文件并找到您 ACS URL 和 实体ID。
- 现在导航回 G- 套件控制台,并将网址插入应用程序的配置,完成后选择下一个。
注:此文档将留待其他字段作为默认值。
第 8 步。 对于此设置,我们不会进入属性映射,请选择完成。 您的应用程序现在应在 G- 套件控制台中完成并查看。
第 9 步。 现在,您的应用程序 IDP 已完成,我们将使用以前创建的身份验证配置文件为我们的 GP 登录方法。
在门户/网关配置中指定 步骤 7B 中的 GSuite Auth 配置文件
- 对于门户: 网络>门户>选择您的门户>身份验证>客户身份验证>身份验证配置文件
- 对于网关: 网络>网关>选择您的网关>身份验证>客户身份验证>身份验证配置文件
- 提交此处所做的更改,我们应准备好测试设置。
- 从客户端应用程序开始连接到门户
- A 重定向到您 IDP 将提出您的谷歌帐户的登录页面。 使用 G- 您的套件凭据登录
- 如果用户注册了 2FA,则会在密码后提示用户进行 2FA 身份验证。
- 用户应重定向回服务提供商,并在成功通过 Suite 进行身份验证后进行 G- 连接。