GlobalProtect Kundenlos VPN SAML SSO mit Okta

Autor: Scott Chiang, zuletzt revidiert 6/23/2017

PAN-OS: Version 8.0.x

Okta: Okta Plattform Developer Edition

 

Hintergrund:

Das Ziel dieses Dokuments ist es, SAML SSO mit Okta to GlobalProtect Clientless VPN

 

 

 

Dienstleister ( SP ) – Palo Alto Networks Firewall

Identity Provider (IDP) – Okta

Anwendung – GlobalProtect Clientless VPN

 

 

Okta-Dokumentation zur SAML Konfiguration für GlobalProtect

http://saml-doc.okta.com/SAML_Docs/How-to-Configure- SAML-2 .0-für-Palo-Alto-Netzwerke- GlobalProtect .html

 

192.168.55.20 – GlobalProtect Portal und clientloser VPN Hostname

Okta - https://dev-824646.oktapreview.com

 

Okta

 

Anwendungs Konfigurationen: (admin > Anwendungen > Anwendung hinzufügen)

 

Suchen nach der Palo Alto Networks GlobalProtect Anwendung > Hinzufügen 

 

 

 

 Basis URL :

https://GlobalProtectPortalAddress/SAML20/ SP /ACS

 

 

 

  

Anwendungskonfigurationen: (Admin > Anwendungen > Palo Alto Networks - GlobalProtect > Anmelden)

 

 

 

 

Metadaten auf Desktop herunterladen

 

 

 

  Palo Alto Networks Firewall

 

Serverkonfigurationen: (Registerkarte "Geräte" > Serverprofile > SAML Identitätsanbieter)

 

 Okta-Metadaten importieren

(Hinweis: Wenn Sie ein selbst signiertes Zertifikat aus haben, können Sie das IDP Zertifikat "Identitätsanbieter überprüfen" nicht aktivieren. Bitte stellen Sie sicher, dass Sie sich auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder höher befinden, um die Exposition gegenüber https://security.paloaltonetworks.com/ CVE-2020 -2021zu verringern. 
 

 

 

 

 

Authentifizierungs Konfigurationen: (Device Tab > Authentifizierungs Profil)

 

 

 

GlobalProtect Portalkonfigurationen: (Registerkarte Netzwerk > GlobalProtect > Portals

 

GlobalProtect Portalauthentifizierung = SAML

 

 

 

 GlobalProtect Clientlose VPN Konfiguration

 

 

Goto GlobalProtect Clientless VPN

https://192.168.55.20

 

Umleitungen nach Okta, um sich zu authentifizieren. Okta sendet SAML Assertion an firewall .

 

 

 

 

 

System Protokolle: (Monitor Tab > System)

 

 

 

 

How-To publish GlobalProtect Clientless VPN App in User Okta Portal mit SSO

 

Wir unterstützen den von IDP initiierten Workflow nicht. Als Workaround verwenden Sie die Okta-Lesezeichen-App

 

Anwendungs Konfigurationen: (admin > Anwendungen > Anwendung hinzufügen)

 

Suche nach dem Lesezeichen App > Add

 

 

 

URL: https://GlobalProtectPortalAddress/global-protect/portal/portal.esp

 

  

Anwendungskonfigurationen: (Admin > Anwendungen > Palo Alto Networks - GlobalProtect > General )

 

Palo Alto Networks ausblenden - GlobalProtect SAML Anwendung für Benutzer

 

 

Anmeldung zum Okta-Portal – https://mycompany.okta.com