GlobalProtect Kundenlos VPN SAML SSO mit Okta

GlobalProtect Kundenlos VPN SAML SSO mit Okta

76795
Created On 09/26/18 19:10 PM - Last Modified 03/26/21 17:25 PM


Environment


PAN-OS 8.1 und höher

Resolution


Autor: Scott Chiang, zuletzt revidiert 6/23/2017

PAN-OS: Version 8.0.x

Okta: Okta Plattform Developer Edition

 

Hintergrund:

Das Ziel dieses Dokuments ist es, SAML SSO mit Okta to GlobalProtect Clientless VPN

 

 

2017-07 -07 _10-55 -06. png

 

Dienstleister ( SP ) – Palo Alto Networks Firewall

Identity Provider (IDP) – Okta

Anwendung – GlobalProtect Clientless VPN

 

 

Okta-Dokumentation zur SAML Konfiguration für GlobalProtect

http://saml-doc.okta.com/SAML_Docs/How-to-Configure- SAML-2 .0-für-Palo-Alto-Netzwerke- GlobalProtect .html

 

192.168.55.20 – GlobalProtect Portal und clientloser VPN Hostname

Okta - https://dev-824646.oktapreview.com

 

Okta

 

Anwendungs Konfigurationen: (admin > Anwendungen > Anwendung hinzufügen)

 

Suchen nach der Palo Alto Networks GlobalProtect Anwendung > Hinzufügen 

 Large.png

 

 

 Basis URL :

https://GlobalProtectPortalAddress/SAML20/ SP /ACS

 Large (1). png

 

 

  

Anwendungskonfigurationen: (Admin > Anwendungen > Palo Alto Networks - GlobalProtect > Anmelden)

 

 

2017-07 -07 _11-02 -59. png

 

 

Metadaten auf Desktop herunterladen

 Large (2). png

 

 

  Palo Alto Networks Firewall

 

Serverkonfigurationen: (Registerkarte "Geräte" > Serverprofile > SAML Identitätsanbieter)

 

 Okta-Metadaten importieren

(Hinweis: Wenn Sie ein selbst signiertes Zertifikat aus haben, können Sie das IDP Zertifikat "Identitätsanbieter überprüfen" nicht aktivieren. Bitte stellen Sie sicher, dass Sie sich auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder höher befinden, um die Exposition gegenüber https://security.paloaltonetworks.com/ CVE-2020 -2021zu verringern. 
 

2017-07 -07 _11-06 -26. png

 

 

2017-07 -07 _11-07 -38. png

 

 

Authentifizierungs Konfigurationen: (Device Tab > Authentifizierungs Profil)

 

 

2017-07 -07 _11-09 -15. png

 

GlobalProtect Portalkonfigurationen: (Registerkarte Netzwerk > GlobalProtect > Portals

 

GlobalProtect Portalauthentifizierung = SAML

 Large (3). png

 

 

 GlobalProtect Clientlose VPN Konfiguration

 

2017-07 -07 _11-11 -29. png

 

Goto GlobalProtect Clientless VPN

https://192.168.55.20

 

Umleitungen nach Okta, um sich zu authentifizieren. Okta sendet SAML Assertion an firewall .

 2017-07 -07 _11-13 -00. png

 

 

 

2017-07 -07 _11-14 -02. png

 

System Protokolle: (Monitor Tab > System)

 2017-07 -07 _11-15 -36. png

 

 

 

How-To publish GlobalProtect Clientless VPN App in User Okta Portal mit SSO

 

Wir unterstützen den von IDP initiierten Workflow nicht. Als Workaround verwenden Sie die Okta-Lesezeichen-App

 

Anwendungs Konfigurationen: (admin > Anwendungen > Anwendung hinzufügen)

 

Suche nach dem Lesezeichen App > Add

 2017-07 -07 _11-17 -32. png

 

 

URL: https://GlobalProtectPortalAddress/global-protect/portal/portal.esp

 Large (4). png

  

Anwendungskonfigurationen: (Admin > Anwendungen > Palo Alto Networks - GlobalProtect > General )

 

Palo Alto Networks ausblenden - GlobalProtect SAML Anwendung für Benutzer

 Large (5). png

 

Anmeldung zum Okta-Portal – https://mycompany.okta.com

 2017-07 -07 _11-21 -36. png

 

 2017-07 -07 _11-22 -28. png

 

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2oCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language