GlobalProtect Sans client VPN SAML SSO avec Okta

76759

Created On 09/26/18 19:10 PM - Last Modified 03/26/21 17:25 PM

Environment

PAN-OS 8.1 et au-dessus

Resolution

Auteur: Scott Chiang, dernière révision 6/23/2017

PAN-OS: version 8.0.x

Okta: Okta Platform Developer Edition

Contexte:

Le but de ce document est de SAML SSO configurer avec Okta à GlobalProtect Clientless VPN

2017-07 -07 _10-55 -06. png

Fournisseur de services SP ( ) – Palo Alto Networks Firewall

Fournisseur d'identité (IDP) – Okta

Application – GlobalProtect Sans client VPN

Okta Documentation pour la SAML configuration pour GlobalProtect

http://saml-doc.okta.com/SAML_Docs/How-to-Configure- SAML-2 .0-for-Palo-Alto-Networks- GlobalProtect .html

192.168.55.20 – GlobalProtect Portail et nom d’hôte VPN sans client

Okta - https://dev-824646.oktapreview.com

Okta

Configurations d'applications: (admin > applications > Add application)

Rechercher l’application Palo Alto Networks GlobalProtect > Ajouter

Base URL :

https://GlobalProtectPortalAddress/SAML20/ SP /ACS

grand (1). png

Configurations d’applications: (Admin > Applications > Palo Alto Networks - GlobalProtect > Sign On)

2017-07 -07 _11-02 -59. png

Télécharger les métadonnées sur le Bureau

grand (2). png

Réseaux Palo Alto Firewall

Configurations du serveur : (onglet périphérique > profils serveur > SAML d’identité)

Importer des métadonnées Okta

(Remarque : Lorsque vous avez un certificat autosigné IDP à partir de , vous ne serez pas en mesure d’activer le certificat de fournisseur d’identité validé. S’il vous plaît assurez-vous que vous PAN-OS êtes sur 8.1.15, 9.0.9, 9.1.3 ou plus tard pour atténuer l’exposition à https://security.paloaltonetworks.com/ CVE-2020 -2021).

2017-07 -07 _11-06 -26. png

2017-07 -07 _11-07 -38. png

Configurations d'authentification: (onglet Device > profil d'authentification)

2017-07 -07 _11-09 -15. png

GlobalProtect Configurations de portails : (onglet réseau > GlobalProtect > portails

GlobalProtect Authentification du portail = SAML

grand (3). png

GlobalProtect Configuration sans VPN client

2017-07 -07 _11-11 -29. png

Goto GlobalProtect Sans client VPN

https://192.168.55.20

Redirige vers Okta pour authentifier. Okta envoie SAML l’affirmation à firewall .

2017-07 -07 _11-13 -00. png

2017-07 -07 _11-14 -02. png

Journaux système: (onglet Moniteur > système)

2017-07 -07 _11-15 -36. png

Comment publier GlobalProtect l’application Clientless VPN dans l’utilisateur Okta Portal avec SSO

Nous ne supportons pas le workflow initié par IDP. En tant que solution de contournement, utilisez l'application signet Okta

Configurations d'applications: (admin > applications > Add application)

Rechercher le signet $ $ etAPP > ajouter

2017-07 -07 _11-17 -32. png

URL: https://GlobalProtectPortalAddress/global-protect/portal/portal.esp

grand (4). png

Configurations d’applications: (Admin > Applications > Palo Alto Networks - GlobalProtect > General )

Masquer les réseaux de Palo Alto - GlobalProtect SAML application pour les utilisateurs

grand (5). png

Connectez-vous au portail Okta – https://mycompany.okta.com

2017-07 -07 _11-21 -36. png

2017-07 -07 _11-22 -28. png

GlobalProtect Sans client VPN SAML SSO avec Okta

Environment

Resolution

Other users also viewed: