如何设置 PingIdentity/Ping 联合身份/PingOneSSO在 Prisma Cloud
Objective
- 配置 PingIdentitySSO在Prisma Cloud没有及时供应(JIT ).
- 配置 PingIdentitySSO在Prisma Cloud与及时配置(JIT ) 具有单一/多重角色。
Environment
- Prisma Cloud
- Ping身份
Procedure
设置 PingIdentitySSO
1. 登录PingIdentity 控制台 > 添加环境
2. 选择环境 > 下一步
3. 选择下一个
4. 类型环境名称 > 完成
5. 点击连接
6. 通过单击创建一个新的应用程序+
7. 选择一个应用程序类型 > 配置
8. 类型应用程序名称“Prisma CloudSSO " > 下一步
9. 选择“手动输入”。配置SAML连接,指定ACS URLS.
注意:格式为ACS URLS使用URL为了Prisma Cloud,但你必须更换app使用 api 并在末尾添加 saml。 例如,如果您访问Prisma Cloud在 https://app2.prismacloud.io,您的登录URL应该https://api2.prismacloud.io/saml如果是 https://app .eu.prismacloud.io,应该是https://api.eu.prismacloud.io/saml
10. 为了ENTITY ID- 复制观众URI(SP实体ID)从Prisma Cloud控制台 > 设置 >SSO并将其粘贴在这里。
11. 下载签名证书。 确保 IdP 证书符合标准X.509格式。
12. 地图属性saml_subject > 电子邮件地址然后点击保存并关闭
13. 使能够Prisma CloudSSO应用。 复制发行人ID我们将在Prisma Cloud> 设置 >SSO
14. 选择身份 > 用户 > 添加用户
15. 以下用户详细信息应该相同 Prisma Cloud
- GIVEN NAME
- FAMILY NAME
- EMAIL ADDRESS
- USERNAME(注:输入邮箱USERNAME)
16. (选修的)及时 (JIT ) 配置(16 至 21 仅适用于JIT)
- 点击身份 > 组 > 添加组
17. 为多角色创建至少两个组
- 系统管理员
- 审计员
注意:确保在中具有相同的角色Prisma Cloud> 设置 > 角色
18. 单一角色:
选择系统管理员>选择用户>手动添加用户> 点击+号将用户添加到系统管理员集团 >节省
19. (选修的)多角色:
选择审计员> 选择用户>手动添加用户> 点击+号将用户添加到审计员集团 >节省
20. 前往连接>应用> 选择Prisma CloudSSO申请 >属性映射>编辑
21. 添加属性
- 名
- 姓
- 电子邮件
- 角色
STEP2个>>配置SSO在Prisma Cloud.
1. 登录Prisma Cloud并选择设置>用户>添新>节省
2. 选择设置>SSO .
3. 输入您的值身份提供者颁发者从上面STEP1 >> 13 > 发行人ID.
4. (选修的)输入身份提供者 注销URL用户被重定向到什么时候Prisma Cloud超时或用户注销时。
5. 输入您的国内流离失所者证书在标准中X.509格式。
只需从您的 IdP 下载的证书中复制并粘贴它。
6.选择允许选择的用户直接使用Prisma Cloud配置一些用户访问Prisma Cloud直接使用他们注册的电子邮件地址和密码Prisma Cloud, 除了通过登录SSO提供商。
启用前SSO, 请务必选择一些也可以访问的用户Prisma Cloud直接使用本地注册的邮箱和密码Prisma Cloud确保您在配置错误时不会被锁定在控制台之外SSO并且需要修改 IdP 设置。 要通过 API 访问数据,您需要直接向Prisma Cloud.
7. 选择用户谁可以访问Prisma Cloud使用本地身份验证凭据Prisma Cloud或使用SSO.
8. 单击切换按钮以转动ON“允许选择的用户直接使用Prisma Cloud“ 环境
- 节省你的改变。
9. (选修的)及时 (JIT ) 配置
我们创建两个角色来演示多角色。
在下面设置>角色>添加角色
- 系统管理员
- 审计师
10. (选修的)及时 (JIT ) 配置
- 电子邮件
- 角色
- 名
- 姓
11.使能够SSO和节省再次。
12.使用验证访问SSO.
- 复制启动单点登录URL来自 PingIdentity 应用程序