GlobalProtect Sin cliente VPN SAML SSO con Okta

GlobalProtect Sin cliente VPN SAML SSO con Okta

76781
Created On 09/26/18 19:10 PM - Last Modified 03/26/21 17:25 PM


Environment


PAN-OS 8.1 y superior

Resolution


Autor: Scott Chiang, última revisión 6/23/2017

PAN-OS: versión 8.0.x

Okta: Okta Platform Developer Edition

 

Antecedentes:

El objetivo de este documento es configurar SAML SSO con Okta a GlobalProtect Clientless VPN

 

 

2017-07 -07 _10-55 -06. png

 

Proveedor de servicios ( SP ) – Redes Palo Alto Firewall

Proveedor de identidad (IDP) – Okta

Aplicación – GlobalProtect Sin cliente VPN

 

 

Documentación de Okta SAML para la configuración de GlobalProtect

http://saml-doc.okta.com/SAML_Docs/How-to-Configure- SAML-2 .0-for-Palo-Alto-Networks- GlobalProtect .html

 

192.168.55.20 – GlobalProtect Portal y nombre de host sin VPN cliente

Okta - https://dev-824646.oktapreview.com

 

Okta

 

Configuraciones de aplicaciones: (admin > aplicaciones > agregar aplicación)

 

Busque la aplicación Palo Alto Networks GlobalProtect > Add 

 Large.png

 

 

 Base URL :

https://GlobalProtectPortalAddress/SAML20/ SP /ACS

 Large (1). png

 

 

  

Configuraciones de aplicaciones: (Admin > Aplicaciones > Palo Alto Networks - GlobalProtect > Iniciar sesión)

 

 

2017-07 -07 _11-02 -59. png

 

 

Descargar metadatos al escritorio

 Large (2). png

 

 

  Redes palo alto Firewall

 

Configuraciones del servidor: (ficha Dispositivo > perfiles de servidor > SAML proveedor de identidad)

 

 Importar metadatos de Okta

(Nota: Cuando haya firmado el certificado por sí IDP mismo, no podrá habilitar validar el certificado del proveedor de identidades. Asegúrese de que está en PAN-OS 8.1.15, 9.0.9, 9.1.3 o posterior para mitigar la exposición a https://security.paloaltonetworks.com/ CVE-2020 -2021). 
 

2017-07 -07 _11-06 -26. png

 

 

2017-07 -07 _11-07 -38. png

 

 

Configuraciones de autenticación: (ficha dispositivo > Perfil de autenticación)

 

 

2017-07 -07 _11-09 -15. png

 

GlobalProtect Configuraciones del portal: (la pestaña Red > GlobalProtect > Portales

 

GlobalProtect Autenticación del portal = SAML

 Large (3). png

 

 

 GlobalProtectConfiguración sin cliente VPN

 

2017-07 -07 _11-11 -29. png

 

Goto GlobalProtect Sin cliente VPN

https://192.168.55.20

 

Redirige a Okta para autenticar. Okta envía SAML la aserción a firewall .

 2017-07 -07 _11-13 -00. png

 

 

 

2017-07 -07 _11-14 -02. png

 

Logs del sistema: (monitor Tab > sistema)

 2017-07 -07 _11-15 -36. png

 

 

 

Cómo publicar GlobalProtect la aplicación Clientless VPN en el portal okta del usuario con SSO

 

No apoyamos el flujo de trabajo iniciado por IDP. Como solución, utilice la aplicación Okta Bookmark

 

Configuraciones de aplicaciones: (admin > aplicaciones > agregar aplicación)

 

Buscar la aplicación de marcadores > Add

 2017-07 -07 _11-17 -32. png

 

 

URL: https://GlobalProtectPortalAddress/global-protect/portal/portal.esp

 Large (4). png

  

Configuraciones de aplicaciones: (Aplicaciones de > de administración > redes palo alto - GlobalProtect > general)

 

Ocultar las redes de Palo Alto - GlobalProtect SAML aplicación a los usuarios

 Large (5). png

 

Inicio de sesión en el portal okta – https://mycompany.okta.com

 2017-07 -07 _11-21 -36. png

 

 2017-07 -07 _11-22 -28. png

 

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2oCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language