GlobalProtect 无客户 VPN SAML SSO 与奥克塔

76771

Created On 09/26/18 19:10 PM - Last Modified 03/26/21 17:25 PM

Environment

PAN-OS 8.1及以上

Resolution

作者: 斯科特蒋, 最后修订 6/23/2017

PAN-OS：版本8.0.x

Okta: Okta 平台开发者版

背景：

本文档的目标是 SAML SSO 将 Okta 配置为 GlobalProtect 无客户端 VPN

2017-07-07_10-55-06. png

服务提供商（ SP ） – 帕洛阿尔托网络 Firewall

身份提供商 (国内流离失所者) – Okta

应用程序- GlobalProtect 无客户端 VPN

用于配置的 Okta 文档 SAML GlobalProtect

http://saml-doc.okta.com/SAML_Docs/How-to-Configure - SAML-2 .0 - 帕洛 - 阿尔托网络 - GlobalProtect .html

192.168.55.20 – GlobalProtect 门户网站和无客户 VPN 主机名

冈田 - https://dev-824646.oktapreview.com

Okta

应用程序配置: (管理 > 应用程序 > 添加应用程序)

搜索帕洛阿尔托网络 GlobalProtect 应用程序>添加

基地 URL ：

SPhttps://GlobalProtectPortalAddress/SAML20//ACS

大 (1). png

应用程序配置：（管理>应用程序>帕洛阿尔托网络 - GlobalProtect >登录）

2017-07-07_11-02-59. png

将元数据下载到桌面

大 (2). png

帕洛阿尔托网络 Firewall

服务器配置：（设备选项卡>服务器配置文件> SAML 身份提供商）

导入 Okta 元数据

（注：当您拥有自签名证书时 IDP ，您将无法启用验证身份提供商证书。请确保您是在 PAN-OS 8.1.15，9.0.9，9.1.3或更晚，以减轻接触 CVE-2020 https://security.paloaltonetworks.com/-2021）。

2017-07-07_11-06-26. png

2017-07-07_11-07-38. png

身份验证配置: (设备选项卡 > 身份验证配置文件)

2017-07-07_11-09-15. png

GlobalProtect 门户配置：（网络选项卡 GlobalProtect >>门户

GlobalProtect 门户身份验证= SAML

大 (3). png

GlobalProtect 无客户 VPN 端配置

2017-07-07_11-11-29. png

戈托 GlobalProtect 无客户 VPN

https://192.168.55.20

重定向到 Okta 以进行身份验证。冈田发送 SAML 断言 firewall 。

2017-07-07_11-13-00. png

2017-07-07_11-14-02. png

系统日志: (监视器标签 > 系统)

2017-07-07_11-15-36. png

如何 GlobalProtect VPN 在用户 Okta 门户中发布无客户端应用 SSO

我们不支持国内流离失所者启动的工作流。作为一种变通办法, 请使用 Okta 书签应用程序

应用程序配置: (管理 > 应用程序 > 添加应用程序)

搜索书签应用程序 > 添加

2017-07-07_11-17-32. png

URL：https://GlobalProtectPortalAddress/global-protect/portal/portal.esp

大 (4). png

应用程序配置：（应用> 应用程序> 帕洛阿尔托网络 - GlobalProtect >一般）

隐藏帕洛阿尔托网络 - GlobalProtect SAML 应用程序给用户

大 (5). png

登录到冈田门户网站 –https://mycompany.okta.com

2017-07-07_11-21-36. png

2017-07-07_11-22-28. png

GlobalProtect 无客户 VPN SAML SSO 与奥克塔

Environment

Resolution

Other users also viewed: