Identitätsanbieterkonfiguration für SAML

Identitätsanbieterkonfiguration für SAML

102604
Created On 06/23/20 18:31 PM - Last Modified 03/26/21 18:26 PM


Objective


  • Geben Sie Schritte zu allen zusätzlichen Aktionen an, die für idP erforderlich sind, SAML damit signierte Antworten oder Assertionen gesendet werden SAML können.
  • Geben Sie Schritte zum Konfigurieren eines CA- ausgestellten Zertifikats für Ihren IdP an, damit Sie das Kontrollkästchen Identitätsanbieterzertifikat überprüfen auf der und aktivieren firewall Panorama können.

Environment


SAML IDP

Procedure


Kurzübersicht:

Signiert SAML Antwort: Wenn der von Ihnen verwendete IdP ADFS , Azure , AD Google, OneLogin, PingFederate oder PingOne ist, müssen Sie keine Maßnahmen ergreifen, um SAML signierte Antworten oder Assertionen zu senden. Wenn Sie Okta oder einen anderen IdP verwenden, überprüfen Sie bitte, ob Sie Ihren IdP so konfiguriert haben, dass SAML er Antworten oder Assertionen signiert. Als bewährte Methode für die Sicherheit müssen Sie Ihren IdP so konfigurieren, dass die SAML Antwort, SAML die Assertion oder beides signieren.

Aktivieren des Validierungszertifikats des Identitätsanbieters: Um das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktivieren zu können, muss das Zertifikat Ihres IdP-Anbieters von einer Zertifizierungsstelle ausgestellt werden.Viele beliebte Identitätsanbieter generieren standardmäßig selbstsignierte IdP-Zertifikate, aber ADFS Azure AD , Okta, Ping One und OneLogin bieten eine Möglichkeit, CA- ausgestellte IdP-Zertifikate zu verwenden. 
 

IDP Anbieter

Alle Maßnahmen, die zum Senden einer signierten SAML Antwort/Assertion erforderlich sind?

Bietet IDP eine Option zum Verwenden von Zertifikaten, die von der Zertifizierungsstelle ausgestellt wurden, um das Kontrollkästchen Identitätsanbieterzertifikat überprüfen auf dem firewall ?

ADFS

Nein

Ja

Azure AD

Nein

Ja


duo

Ja, wenn Sie die Standardeinstellungen geändert haben.

Duo Access Gateway verfügt über einen einzigen Signaturschlüssel für alle SPs, selbst wenn sie das Zertifikat ändern würden, würde dies mehr als nur die Konfiguration mit palo Alto Networks-Geräten beeinträchtigen. Kunden sollten ihre PAN-OS Aufwertung auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder PAN-OS neuere Versionen aktualisieren.

Google Cloud-Identität

Nein

Keine
 
Kunden sollten ihre PAN-OS Aufwertung auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder PAN-OS neuere Versionen aktualisieren.

Okta

Ja, wenn Sie die Standardeinstellungen geändert haben.

Ja

Ping One

Nein

Ja

OneLogin

Nein

Ja

Andere IdPs

Stellen Sie sicher, dass Sie Ihren IdP so konfiguriert haben, dass SAML er Antworten oder Assertionen signiert.

Erkundigen Sie sich beim IdP-Administrator, ob Sie ausgestellte Zertifikate für das Zertifikat konfigurieren CA- IDP können.


ADFS 

Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS

Schritt 1 - Hinzufügen eines CA- ausgestellten Zertifikats als Tokensignaturzertifikat auf ADFS

Hinweis: Das IDP Zertifikat (auch Tokensignaturzertifikat genannt) ADFS für ist global, es ist nicht pro Dienstanbieter. Wenn das Zertifikat geändert wird, müssen alle vertrauenden Parteien ADFS in aktualisiert werden, um das neue Tokensignaturzertifikat zu akzeptieren.

  1. Generieren Sie ein Zertifikat mit Ihrer Unternehmenszertifizierungsstelle.
  2. Befolgen Sie den Anweisungen von Microsoft, um das Zertifikat für das Tokensignierzertifikat hinzuzufügen: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/add-a-token-signing-certificate
Überprüfen des Identitätsanbieterzertifikats in Ihrem SAML IdP-Serverprofil
 

Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS

Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:

  1. Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
  2. Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
  3. Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
  4. Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
  5. Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .

Azure AD 

Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS 

Schritt 1 - Hinzufügen eines CA- ausgestellten Zertifikats als IdP-Zertifikat in Azure AD

  1. Generieren Sie ein Zertifikat mit Ihrer Unternehmenszertifizierungsstelle.
  2. Befolgen Sie den Anweisungen aus AD Azure, um ein neues CA- ausgestelltes Zertifikat https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificatehinzuzufügen.
  3. Löschen Sie das alte Zertifikat, bevor Sie die IdP-Metadaten exportieren, um den nächsten Schritt abzuschließen.

Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS

Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:

  1. Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
  2. Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
  3. Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
  4. Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
  5. Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .

duo

Schritte zum Senden signierter Antworten oder Assertionen von Duo

Sie können SAML die Konfiguration auf drei Arten einrichten:

  1. Anwendung: Generischer Dienstanbieter, Schutztyp: 2FA mit SSO gehostet von Duo (Single Sign-On)
    • Es sind keine zusätzlichen Aktionen erforderlich, um SAML signierte Antworten oder Assertionen von Duo zu senden.
  2. Bewerbung: Palo Alto Networks, Schutztyp: 2FA mit SSO selbst gehostetem (Duo Access Gateway)
    • Es sind keine zusätzlichen Aktionen erforderlich, um SAML signierte Antworten oder Assertionen von Duo zu senden.
  3. Bewerbung: Generischer Dienstanbieter, Schutztyp: 2FA mit SSO selbst gehostetem (Duo Access Gateway)
    • Wenn Sie die Konfiguration mit dieser Anwendung erstellt SAML haben, werden standardmäßig Ihre SAML Antworten und Assertionen signiert. So überprüfen Sie, ob Ihre SAML Antworten und/oder Assertionen signiert sind:
  1. Klicken Sie auf die Von Ihnen erstellte Anwendung des generischen Dienstanbieters.
  1. Stellen Sie sicher, dass entweder Antwort signieren, Assertion signierenoder beide ausgewählt sind, und klicken Sie dann auf Konfiguration speichern.

Okta

Schritte zum Senden signierter Antworten oder Assertionen von Okta

Sie können SAML die Konfiguration auf zwei Arten einrichten:

Okta Integration Network ( OIN ) Integration:

  • Wenn Sie eine der folgenden Integrationen OIN (Okta Integration Network) verwendet haben, ist keine zusätzliche Aktion erforderlich, um SAML signierte Antworten oder Assertionen von Okta zu senden.
  • Palo Alto Netzwerke - GlobalProtect 
  • Palo Alto Netzwerke - Admin UI 
  • Palo Alto Netzwerke - CaptivePortal

App-Integrations-Assistent

  • Wenn Sie die SAML Konfiguration mit dem App-Integrations-Assistentenerstellt haben, werden Ihre Antworten standardmäßig SAML signiert.So überprüfen Sie, ob Ihre SAML Antworten signiert sind:
  1. Klicken Sie auf die von Ihnen erstellte neue Anwendungsintegration, und wählen Sie Allgemeine > SAMLEinstellungen > Bearbeiten aus.
Klicken Sie auf die neue Anwendungsintegration, die Sie erstellt haben, und wählen Sie Allgemeine > SAML Einstellungen > Bearbeiten aus.
  1. Klicken Sie auf Weiter, und wählen Sie unter Konfigurieren SAMLaus Erweiterte Einstellungen anzeigen aus.
Klicken Sie auf Weiter, und wählen Sie unter Konfigurieren SAML aus, erweiterte Einstellungen anzeigen aus.
  1. Stellen Sie sicher, dass Sie entweder Antwort- oder Assertionssignatur für Signiertkonfiguriert haben.
Standardmäßig sind sowohl Antwort- als auch Assertionssignatur auf Signiertfestgelegt und werden nur deaktiviert, wenn Sie sie manuell aktualisiert haben.

Stellen Sie sicher, dass Sie entweder Antwort- oder Assertionssignatur für Signed konfiguriert haben.

Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS 

Schritt 1 - Fügen Sie eine CA- Ausgestelltes Zertifikat als IDP Zertifikat auf Okta

Folgen Sie den Anweisungen von Okta, um ein CA- ausgestelltes Zertifikat als Zertifikat mithilfe der IDP Okta-Dokumentation zu konfigurieren: https://developer.okta.com/docs/guides/sign-your-own-saml-csr/overview/

  1. Um den CSR Schritt In der Okta-Dokumentationsignieren abzuschließen, müssen Sie Ihren Enterprise-Prozess befolgen, um die zu CSR signieren. Im Folgenden finden Sie eine kurze Anleitung, wie Sie dies mithilfe von Microsoft Certificate Authority und OpenSSL erreichen können:
  • Microsoft Certificate Authority verwenden: Speichern Sie den CSR aus dem Schritt Erstellen einer Zertifikatsignaturanforderung ( CSR erhaltenen Produktder in der Okta-Dokumentation , und verwenden Sie die Anweisungen auf der MSFTTechnet-Website, um die zu signieren. CSR Durch Das Signieren des CSR erstellt wird ein signiertes Zertifikat, das Sie im Schritt Veröffentlichen CSR in der Okta-Dokumentation an Okta zurückgeben müssen.
  • Verwenden von OpenSSL: Speichern Sie den CSR aus dem Schritt Erstellen einer Zertifikatsignaturanforderung ( CSR ) erhaltenen Befehl in der Okta-Dokumentation, und verwenden Sie den Befehl OpenSSL, CA um das zu signieren, CSR das ein signiertes Zertifikat erstellt, das Sie im nächsten Schritt an Okta zurückgeben müssen, Veröffentlichen der CSR. Ein Beispiel für den Befehl finden Sie unten, weitere Informationen finden Sie in der OpenSSL-Dokumentation.
    • openssl ca -config <openssl config="" file="">-in CSR erhalten <certificate.cer> oben> -out</openssl>

 

Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS

Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:

  1. Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
  2. Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
  3. Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
  4. Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
  5. Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .
OneLogin

Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS 

Schritt 1 - Hinzufügen eines IdP-Zertifikats mit CA Flag auf OneLogin

Befolgen Sie den Anweisungen von OneLogin, um ein Zertifikat mit einem CA Flag in der Erweiterung "Grundlegende Einschränkungen" zu erstellen:

https://onelogin.service-now.com/support?id=kb_article&sys_id=732a9943db109700d5505eea4b96192e

  • Hinweis: Sie müssen das CA Flag in Schritt 7 des obigen Links aktivieren. Dieser Schritt ist obligatorisch.

Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS

Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:

  1. Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
  2. Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
  3. Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
  4. Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
  5. Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .
PingOne

Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS 

Schritt 1 - Hinzufügen eines CA- ausgestellten Zertifikats als IdP-Zertifikat auf PingOne

Befolgen Sie den Anweisungen von PingOne, um ein CA- ausgestelltes Zertifikat als Zertifikat zu IDP konfigurieren: https://docs.pingidentity.com/bundle/pingone/page/mfi1564020498415-1.html 

Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS

Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:

  1. Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
  2. Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
  3. Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
  4. Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
  5. Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXPCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language