GlobalProtect: Authentification unique en deux facteurs basée sur le mot de passe

GlobalProtect: Authentification unique en deux facteurs basée sur le mot de passe

133344
Created On 09/27/18 07:39 AM - Last Modified 03/26/21 17:27 PM


Resolution


Par Sivasekharan Rajasekaran

@srajasekar @

 

Arrière-plan

 

Les entreprises requièrent des méthodes d'authentification plus strictes comme les mots de passe One Time (APT) avant de permettre aux utilisateurs d'accéder aux ressources de l'entreprise. En exigeant une OTP authentification basée, les entreprises sont en mesure d’empêcher les attaquants d’utiliser les informations d’identification des utilisateurs volés et d’obtenir un accès non autorisé. Toutefois, tout déploiement qui nécessite OTP est repoussant des utilisateurs finants car ils considèrent les OTPs comme une expérience utilisateur douloureuse.

 

Objectif

 

GlobalProtect prend en OTP charge l’authentification basée et fournit également des moyens de garder l’expérience utilisateur mieux. L’objectif de ce document est de fournir aux administrateurs d’entreprise des informations sur les différents OTP workflows d’authentification et de les aider à décider du scénario GlobalProtect GlobalProtect d’authentification qui répondrait à leurs exigences de sécurité et de conformité tout en maintenant l’expérience utilisateur facile et simple.

 

OTP Authentification pour GlobalProtect

 

GlobalProtect prend OTP en charge l’authentification basée via RADIUS ou cela permet SAML GlobalProtect d’être complètement agnostique OTP pour le fournisseur. GlobalProtect peut travailler avec n’importe OTP quel fournisseur aussi longtemps qu’ils lui permettent d’utiliser ou RADIUS SAML . Selon la façon dont le OTP service est configuré, les utilisateurs s’authentifieraient à l’aide de l’un de ces 2 flux de travail :

  1. L’utilisateur fournit le nom d’utilisateur et mot de passe d’abord, puis seulement après contesté OTP fournit le . pourrait être soit pousser à approuver ou le code OTP SMS symbolique.
  2. L’utilisateur fournit le nom OTP d’utilisateur, et/ou le mot de passe tout à la fois sans attendre un défi

GlobalProtect soutient ces deux flux de travail.

Pour une RADIUS configuration d’échantillon sur Duo pour atteindre ces 2 flux de travail se référer "Duo ConfigurationExample" à la fin de la section.

Exiger OTP l’authentification basée en mode Always-On – Référez-vous ici

 

Exiger OTP une authentification basée en mode à la demande

 

GlobalProtectLorsqu’il est déployé en mode à la demande, l’utilisateur se GlobalProtect connecte manuellement au besoin. Ce mode est le cas typique d’utilisation sécurisée de l’accès à distance où les utilisateurs distants installent un tunnel pour accéder aux ressources VPN des centres de données d’entreprise et se déconnecter VPN lorsqu’ils n’ont plus besoin d’accéder à un réseau de centres de données interne.

 

Cas d’utilisation 1 : Exiger OTP l’authentification GlobalProtect en mode à la demande à l’aide RADIUS

 

Dans une méthode de connexion à la demande, GlobalProtect l’agent s’authentifie toujours au portail d’abord, puis la passerelle chaque fois que l’utilisateur initie la connexion à GlobalProtect . Exiger OTP l’authentification sur le portail et la passerelle signifierait que l’utilisateur serait invité OTP pour deux fois (une fois par le portail, puis par la passerelle). Toutefois, GlobalProtect (en commençant par PAN OS 7.1 et GlobalProtect 3.1) offre l’authentification Override, une fonctionnalité qui minimise le nombre de fois qu’un utilisateur est invité à l’authentification. Pour plus de détails sur le remplacement de l’authentification, consultez : Authentification améliorée à deux facteurs

Configuration recommandée:

  • Exiger OTP l’authentification pour le portail et la passerelle
  • Dans le portail,
    • Définissez enregistrer les informations d'identification de l'utilisateur sur «enregistrer le nom du client uniquement»
    • Activez la substitution d'authentification et activez le cookie Generate pour la substitution d'authentification et acceptez le cookie pour la substitution d'authentification.
    • Réglez la durée de vie du cookie N à ' heures. ' N ' heures est combien de temps l’utilisateur ne sera pas invité pour les informations d’identification à nouveau. Choisissez ' N ' basé sur l’expérience utilisateur que vous souhaitez fournir.
  • Dans la passerelle,
    • Activez la substitution d'authentification et activez le cookie Generate pour la substitution d'authentification et acceptez le cookie pour la substitution d'authentification.
    • Réglez la durée de vie du cookie N à ' heures.
    • Assurez-vous d'utiliser le même certificat pour crypter/décrypter les cookies dans le portail et la passerelle.
    • Note: L’utilisation d’un certificat dédié pour le chiffrement et le décryptage du cookie d’authentification donne de la flexibilité s’il est jamais nécessaire de révoquer le certificat utilisé pour l’authentification Override.

Image ajoutée par l'utilisateurConfiguration sur la configuration du portail sur la Image ajoutée par l'utilisateurpasserelle

 

Avec cette configuration, lorsque l’utilisateur final initie manuellement la connexion GlobalProtect à , l’expérience utilisateur final serait:



  1. flux de travail – 1


  2. flux de travail – 2

 

 

 

Cas d’utilisation 2 : Exiger OTP l’authentification GlobalProtect en mode à la demande à l’aide SAML

 

Commençant par PAN OS 8.0 et GlobalProtect 4.0, prend en charge GlobalProtect l’authentification. SAML Lors de SAML GlobalProtect l’utilisation, l’agent ouvre une vue Web / navigateur intégré pour servir la page de connexion SAML d’IdP et permettre à l’utilisateur de compléter l’authentification. Parce qu’il s’agit d’un navigateur différent (navigateur intégré),

Note: GlobalProtect App 5.2+ Pan-OS et 8.1.17,9.0.11,9.1.6,10.0+ et les versions ultérieures soutiennent la possibilité de lancer le navigateur système par défaut au lieu du navigateur intégré lors de l’utilisation de SAML l’authentification.Plus d’informations peuvent être trouvées ici.

      • SAML cookie obtenu en authentification GlobalProtect à ne peut pas être utilisé pour fournir à SSO d’autres SAML applications activées et vice versa.
      • SAML cookie obtenu en authentification GlobalProtect pour ne pas persister à travers les redémarrages et les logouts.

Pour obtenir une authentification transparente même lors de OTP l’utilisation SAML via, configuration recommandée est:

      • Exiger SAML l’authentification pour le portail et la passerelle
      • La configuration IdP détermine la durée de SAML validité du cookie. Tant que le SAML cookie persiste et qu’il est valide, l’utilisateur fait l’expérience d’une authentification transparente GlobalProtect pour .

 

Pour plus d’informations sur la façon de SAML configurer l’authentification GlobalProtect pour l’utilisation d’Okta, consultez ici.

 

Pour fournir une authentification transparente sur les redémarrages et les logouts, utilisez la fonction d’authentification GlobalProtect

 

      • Dans le portail,
        • Définissez enregistrer les informations d'identification de l'utilisateur sur «enregistrer le nom du client uniquement»
        • Activez la substitution d'authentification et activez le cookie Generate pour la substitution d'authentification et acceptez le cookie pour la substitution d'authentification.
        • Réglez la durée de vie du cookie N à ' heures. ' N ' heures est combien de temps l’utilisateur ne sera pas invité pour les informations d’identification à nouveau. Choisissez ' N ' basé sur l’expérience utilisateur que vous souhaitez fournir.
      • Dans la passerelle,
        • Activez la substitution d'authentification et activez le cookie Generate pour la substitution d'authentification et acceptez le cookie pour la substitution d'authentification.
        • Réglez la durée de vie du cookie N à ' heures.
        • Assurez-vous d'utiliser le même certificat pour crypter/décrypter les cookies dans le portail et la passerelle.
        • Note: L’utilisation d’un certificat dédié pour le chiffrement et le décryptage du cookie d’authentification donne de la flexibilité s’il est jamais nécessaire de révoquer le certificat utilisé pour l’authentification Override.

 

Pour les recommandations OTP d’authentification GlobalProtect en mode Always-On, consultez la prochaine partie de cette série ici.

 

Exemple de configuration duo

La configuration de l’échantillon pour Duo pour atteindre les 2 flux de travail:

Pour plus d’informations détaillées sur la façon de configurer Duo pour fournir OTP l’authentification GlobalProtect pour , se référer ici.

Flux de travail 1: L’utilisateur fournit nom d’utilisateur et mot de passe d’abord, puis seulement après contesté fournit OTP le . pourrait être soit pousser à approuver ou ou le code OTP SMS symbolique.

Flux de travail 2 : L’utilisateur fournit le nom OTP d’utilisateur et/ou le mot de passe en même temps sans attendre un défi

[ad_client]

hôte = AD- Serveur>

service_account_username =<administrator></administrator>

service_account_password =<administrator’s password=""></administrator’s>

search_dn= DC =acme, DC =com

 

[duo_only_client]

[radius_server_challenge]

iKey =<duo-integration-key></duo-integration-key>

skey =<duo-security-key></duo-security-key>

api_host =<duo-host-name></duo-host-name>

radius_ip_1= firewall -mgmt-ip>

radius_secret_1 =<radius-secret></radius-secret>

client = ad_client

failmode = Safe

port = 1812
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8ICAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language