GlobalProtect Sans client VPN SAML SSO avec Okta

Auteur: Scott Chiang, dernière révision 6/23/2017

PAN-OS: version 8.0.x

Okta: Okta Platform Developer Edition

 

Contexte:

Le but de ce document est de SAML SSO configurer avec Okta à GlobalProtect Clientless VPN

 

 

 

Fournisseur de services SP ( ) – Palo Alto Networks Firewall

Fournisseur d'identité (IDP) – Okta

Application – GlobalProtect Sans client VPN

 

 

Okta Documentation pour la SAML configuration pour GlobalProtect

http://saml-doc.okta.com/SAML_Docs/How-to-Configure- SAML-2 .0-for-Palo-Alto-Networks- GlobalProtect .html

 

192.168.55.20 – GlobalProtect Portail et nom d’hôte VPN sans client

Okta - https://dev-824646.oktapreview.com

 

Okta

 

Configurations d'applications: (admin > applications > Add application)

 

Rechercher l’application Palo Alto Networks GlobalProtect > Ajouter 

 

 

 

 Base URL :

https://GlobalProtectPortalAddress/SAML20/ SP /ACS

 

 

 

  

Configurations d’applications: (Admin > Applications > Palo Alto Networks - GlobalProtect > Sign On)

 

 

 

 

Télécharger les métadonnées sur le Bureau

 

 

 

  Réseaux Palo Alto Firewall

 

Configurations du serveur : (onglet périphérique > profils serveur > SAML d’identité)

 

 Importer des métadonnées Okta

(Remarque : Lorsque vous avez un certificat autosigné IDP à partir de , vous ne serez pas en mesure d’activer le certificat de fournisseur d’identité validé. S’il vous plaît assurez-vous que vous PAN-OS êtes sur 8.1.15, 9.0.9, 9.1.3 ou plus tard pour atténuer l’exposition à https://security.paloaltonetworks.com/ CVE-2020 -2021). 
 

 

 

 

 

Configurations d'authentification: (onglet Device > profil d'authentification)

 

 

 

GlobalProtect Configurations de portails : (onglet réseau > GlobalProtect > portails

 

GlobalProtect Authentification du portail = SAML

 

 

 

 GlobalProtect Configuration sans VPN client

 

 

Goto GlobalProtect Sans client VPN

https://192.168.55.20

 

Redirige vers Okta pour authentifier. Okta envoie SAML l’affirmation à firewall .

 

 

 

 

 

Journaux système: (onglet Moniteur > système)

 

 

 

 

Comment publier GlobalProtect l’application Clientless VPN dans l’utilisateur Okta Portal avec SSO

 

Nous ne supportons pas le workflow initié par IDP. En tant que solution de contournement, utilisez l'application signet Okta

 

Configurations d'applications: (admin > applications > Add application)

 

Rechercher le signet $ $ etAPP > ajouter

 

 

 

URL: https://GlobalProtectPortalAddress/global-protect/portal/portal.esp

 

  

Configurations d’applications: (Admin > Applications > Palo Alto Networks - GlobalProtect > General )

 

Masquer les réseaux de Palo Alto - GlobalProtect SAML application pour les utilisateurs

 

 

Connectez-vous au portail Okta – https://mycompany.okta.com