保护您的 SAML 部署

Created On 06/23/20 18:12 PM - Last Modified 03/26/21 18:26 PM

Objective

如果您是帕洛阿尔托网络的客户，并且不使用 SAML 您的 NGFW ， VM- 系列 Panorama ，设备，或上 Prisma Access ，你是 NOT IMPACTED CVE-2020由-2021： PAN-OS 身份验证旁路 SAML 认证。

检查您是否正在使用 SAML
如果您正在使用 SAML ，如果您 SAML 的身份提供商允许，请应用缓解措施
考虑立即升级 NGFW Panorama ，并将 VM- 系列防火墙升级到最新维护版本 PAN-OS

Environment

NGFW， VM- 系列
Panorama
GlobalProtect 门户/网关
Prisma Access
SAML

Procedure

对于 Panorama NGFW ， VM- 系列客户（包括 GlobalProtect ）
配置	后续步骤
如果 SAML NOT 已配置 [检查您的配置]	无需执行任何操作。停止。
如果 SAML 已配置	解决方案 - 升级	解决方案 - 无需升级
如果 SAML 已配置	升级前确保您将身份提供商的签名证书配置 SAML 为身份提供商证书。确保您的 SAML IdP 发送已签名 SAML 的响应、断言或两者兼而有之。立即升级到 PAN-OS 8.1.15、9.0.9、9.1.3（如适用）或稍后版本。我们建议将全球保护网关和门户置于升级其他防火墙 Panorama /。升级后无效先前发布的 GlobalProtect Auth 覆盖饼干使以前通过俘虏门户/身份验证门户进行身份验证的用户失效	您的 IdP 必须允许 CA- 已颁发的证书应用这些缓解措施并降低风险。在继续之前，请先与您的 IdP 管理员验证此问题。确保您的 SAML IdP 发送已签名 SAML 的响应、断言或两者兼而有之。确保将身份提供商的签名证书配置 SAML 为身份提供商证书。确保您已启用验证身份提供商证书 PAN-OS /Panorama 无效先前发布的 GlobalProtect Auth 覆盖饼干使以前通过管理员身份验证验证的管理员会话失 SAML 效。使以前通过俘虏门户/身份验证门户进行身份验证的用户失效

适合 Prisma Access 客户
配置	后续步骤
如果 SAML NOT 已配置 [检查您的配置]	无需执行任何操作。停止。
如果 SAML 已配置	Prisma Access 升级完成于2020年6月29日 - 05：01 UTC 升级后：用于 Prisma Access Panorama 管理无效先前发布的 GlobalProtect Auth 覆盖饼干对于 Prisma Access 云管理无需执行任何操作。停止。
如果 SAML 已配置

技术细节 » 如何

1. 检查是否 SAML 已配置

使用时 Panorama

步骤 1

检查是否 SAML 支持身份验证以进行 Panorama 管理员身份验证。导航到 Panorama > 服务器配置文件 > SAML 身份提供商：

如果你没有看到任何配置文件，那么你还没有配置 SAML 。 继续到第 2 步。
如果你看到配置文件，那么你正在使用 SAML 。 升级到最新维护版本需要立即采取行动，或者应用建议的配置来缓解无法升级的问题。

步骤 2

检查是否 SAML 启用了由 Panorama 。导航到设备>[模板]>服务器配置文件>SAML身份提供商。检查每个模板。

如果你没有看到任何配置文件，那么你还没有配置 SAML 。 不需要立即采取行动。请尽早升级到最新的维护版本 PAN-OS 。
如果你看到配置文件，那么你正在使用 SAML 。 升级到最新维护版本需要立即采取行动，或者应用建议的配置来缓解无法升级的问题。

仅在使用NGF时（否 Panorama ）

在每一个 firewall ，检查是否 SAML 支持防火墙的身份验证。导航到设备>服务器配置文件> SAML 身份提供商。

如果你没有看到任何配置文件，那么你还没有配置 SAML 。 不需要立即采取行动。请尽早升级到最新的维护版本 PAN-OS 。
如果你看到配置文件，那么你正在使用 SAML 。 升级到最新维护版本需要立即采取行动，或者应用建议的配置来缓解无法升级的问题。

2. 无需升级的解决方案

对于 Panorama NGFW ， VM- 系列客户（包括 GlobalProtect ）

在继续之前：

要实施此缓解措施，您需要 IDP 使用的签名证书才能成为颁发的证书管理局 CA （）颁发的证书。
许多流行的IDP提供商默认情况下会签发自签名证书，但提供使用您签发的证书的选项 CA 。虽然一些像 Azure 这样的 Idps 提供了 UI 上传 CA- 已颁发证书的选项，但其他像 Okta 这样的Idp可能需要您 API 拨打电话。我们建议您首先与 IdP 管理员一起查看第 3 步中提供的链接，以确定此缓解措施的可行性。
CA-如果您的IdP是双访问代理或谷歌云标识，则无法使用已颁发的证书。需要立即采取行动，以升级到最新的维护版本 PAN-OS 。

第 1 步 - 验证您的 IdP 是否正在签署 SAML 响应和/或断言

步骤 2 - 检查 SAML IdP 服务器配置文件是否与 IDP 证书证书

步骤 3 一起设置 - 检查是否启用了"验证身份提供商证书"

步骤 4 - 使先前发布的 GlobalProtect Auth 覆盖 Cookie 失效

如果使用 GlobalProtect 认证覆盖曲奇饼， 升级前发布的认证覆盖曲奇 PAN-OS 可能仍然有效。要终止这些会话并强制用户重新登录，需要更改用于加密和解密使用或 Web 界面的门户和网关上的"身份验证覆盖 Cookie"的证书 GlobalProtect Panorama firewall ，并将更改提交给运行 GlobalProtect 门户和网关的防火墙。
重新启动 GlobalProtect 门户和网关以断开任何现有会话。

第 5 步 - 通过管理员身份验证验证的管理员用户的会话无效 SAML

请注意： 重新启动防火墙并消除 Panorama Web 界面上任何未经授权的会话。如果您已重新启动 firewall Panorama /，则不需要以下步骤。

如果您正在 SAML 用于管理身份验证，但尚未重新启动 firewall Panorama /，则运行以下命令：
要删除所有管理会话：
- 删除管理员会话
要查找通过验证的管理员 UI 并删除这些管理员会话：
- 显示管理员
- 删除管理员会话用户名 <admin-username>

第 6 步- 使以前通过俘虏门户/身份验证门户进行身份验证的用户失效

如果使用俘虏门户或身份验证门户，则 运行以下命令：
- 显示用户 IP 用户映射所有类型 SSO
- 清除用户缓存-mp <above IP- 地址>
- 清除用户缓存 <above IP- 地址>

如果您已完成不包括升级 Panorama NGFW 或 VM- 系列（包括）的解决方案的实现，请在此处 GlobalProtect 停止。

3. 升级的解决方案

Panorama NGFW ， VM- 系列客户（包括 GlobalProtect ）

在升级之前：第

1 步 - 验证您的 IdP 是否正在签署 SAML 响应和/或断言

步骤 2 - 检查 SAML IdP 服务器配置文件是否设置与 IDP 证书

升级 PAN-OS ：

我们建议优先升级全球保护网关和门户，而不是 Panorama 升级其他防火墙/

第 3 步 -咨询发布说明，以获得最新维护版本 PAN-OS ：

按照特定发布说明中的说明将您的 NGFW 、 VM- 系列或 Panorama 电器升级到最新的维护版本。

升级后 PAN-OS ：

步骤 4 - 无效以前发布的 GlobalProtect Auth 覆盖饼干

如果使用 GlobalProtect 认证覆盖曲奇饼，在升级前发布的认证覆盖饼干 PAN-OS 可能仍然有效。要终止这些会话并强制用户重新登录，需要更改用于加密和解密门户和网关上的身份验证覆盖 Cookie 的证书 GlobalProtect Panorama ，然后将更改提交到运行 GlobalProtect 门户和网关的防火墙。
重新启动 GlobalProtect 门户和网关以断开任何现有会话。

第 5 步- 使以前通过俘虏门户/身份验证门户进行身份验证的用户失效

如果使用俘虏门户或身份验证门户，则 运行以下命令：
- 显示用户 IP 用户映射所有类型 SSO
- 清除用户缓存-mp <above IP- 地址>
- 清除用户缓存 <above IP- 地址>

停止在这里，如果你已经完成了解决方案的实现升级 Panorama NGFW ，或 VM- 系列（包括 GlobalProtect ）。

Prisma Access Panorama用于管理 Prisma Access 防火墙的客户

Prisma Access 升级完成于2020年6月29日 - 05：01 UTC

之后 Prisma Access 升级：

第 1 步 - 无效以前发布的 GlobalProtect Auth 覆盖曲奇

如果使用 GlobalProtect 身份验证覆盖曲奇，则升级前发布的身份验证覆盖 Cookie Prisma Access 可能仍然有效。要终止这些会话并强制用户重新登录，需要更改用于加密和解密门户和网关上使用和提交和推动更改的"身份验证覆盖 Cookie"的证书 GlobalProtect Panorama 。

在您进行之前的更改后， Prisma Access 自动注销旧 GlobalProtect 用户会话， GlobalProtect 端点上的应用将重新对用户进行身份验证以建立新的连接。

停止在这里，如果你已经完成了解决方案的实现升级 Panorama NGFW ，或 VM- 系列（包括 GlobalProtect ）。

参考文档

验证您的 IdP 是否在签署 SAML 回复和/或断言

如果您使用微软 ADFS 、微软Azure、谷歌云标识、OneLogin、平飞或PingOne作为您的 SAML IdP，请继续下一步。
如果您正在使用 Okta 或任何其他 Idp，请验证您的 IdP 是否正在签署 SAML 回复和/或断言。作为安全最佳实践，您必须配置 IDP 才能签署 SAML 响应、 SAML 断言或两者兼有。

SAML IDP 提供商	行动
ADFS 蔚蓝 AD 谷歌一洛金平费德拉特平一	SAML 已签署回复和/或断言。继续下一步
Okta	如果您在（Okta 集成网络）上使用以下任何集成 OIN 来设置配置文件，请继续下一步 SAML 帕洛阿尔托网络 - GlobalProtect 帕洛阿尔托网络 - 管理员 UI 帕洛阿尔托网络 - 俘虏波尔图需要操作，如果您 SAML 已使用应用集成向导在 Okta 中设置配置。确保您发送已签名的响应、已签名的断言或两者兼而有之。
双通道网关	如果您在双访问网关上使用帕洛阿尔托网络集成，请继续下一步。如果您在 SAML 双通道网关上使用通用服务提供商集成设置配置，则需要执行操作。确保您发送已签名的响应、已签名的断言或两者兼而有之
其他IDP	请验证您是否已配置 IDP 以签署 SAML 回复、断言或两者兼有。

返回解决方案，无需升级
返回到解决方案，升级

检查 SAML IdP服务器配置文件是否设置为 IDP 证书

确保IdP证书在上面的所有 SAML IdP配置文件中配置 firewall Panorama ，并用于验证到 GlobalProtect "捕获和身份验证门户"和"管理 Web 界面"。

验证您是否已选择 IdP 用于签名消息的身份提供商证书 SAML 。
如果您在下拉中没有可用的身份提供商（IdP）证书，则必须添加一个。在此链接中使用步骤 2 中的说明。

返回解决方案，无需升级
即可返回到升级解决方案

检查是否启用了"验证身份提供商证书"

确保 验证身份提供商证书 在用于 SAML firewall Panorama 验证 GlobalProtect "俘虏"和"身份验证门户"以及管理 Web 界面的所有 IdP 配置文件中配置。如果启用此功能，则无需采取进一步行动。

要启 用验证身份证明提供者证书，您需要由证书管理局签发 IdP 使用的签名证书 CA 。虽然流行的IdPs发出一个自我签名的证书默认情况下，他们通常允许您使用由您的 CA 。一些像Azure这样的IdPs提供了 UI 上传 CA- 已颁发证书的选项，而其他像Okta这样的IDP则需要您 API 打电话来使用您自己的证书。请与您的 IdP 管理员交谈，以确保 IDP 的配置正确，以便实现这一点。

以下是一些有用的链接，以指导与 IdP 管理员的对话：

SAML IDP 提供商	链接
ADFS	其他指导
蔚蓝 AD	其他指导
双通道网关	客户应升级到 PAN-OS 8.1.15、9.0.9、9.1.3 或更晚。
谷歌云标识	客户应升级到 PAN-OS 8.1.15、9.0.9、9.1.3 或更晚。
Okta	其他指导
平一	其他指导
一洛金	其他指导
其他IDP	一旦 CA- 已颁发的证书已配置到您的 IdP 上，您必须在 IDP 内部 PAN-OS 和 Panorama 。为此, 请执行以下操作: 向您的IdP管理员询问IdP元数据。将 IdP 元数据导入 PAN-OS 和/或 Panorama ，确保启用验证身份提供商证书复选框，然后单击 OK 以保存 SAML IdP 服务器配置文件。使用 CA 已签发 IdP 证书的相同证书创建证书配置文件。将新创建的 IdP 服务器配置文件和证书配置文件添加到您的 SAML 身份验证配置文件中。将配置提交到 Panorama 防火墙和/或防火墙。