Identitätsanbieterkonfiguration für SAML
Objective
- Geben Sie Schritte zu allen zusätzlichen Aktionen an, die für idP erforderlich sind, SAML damit signierte Antworten oder Assertionen gesendet werden SAML können.
- Geben Sie Schritte zum Konfigurieren eines CA- ausgestellten Zertifikats für Ihren IdP an, damit Sie das Kontrollkästchen Identitätsanbieterzertifikat überprüfen auf der und aktivieren firewall Panorama können.
Environment
SAML IDP
Procedure
Kurzübersicht:
Signiert SAML Antwort: Wenn der von Ihnen verwendete IdP ADFS , Azure , AD Google, OneLogin, PingFederate oder PingOne ist, müssen Sie keine Maßnahmen ergreifen, um SAML signierte Antworten oder Assertionen zu senden. Wenn Sie Okta oder einen anderen IdP verwenden, überprüfen Sie bitte, ob Sie Ihren IdP so konfiguriert haben, dass SAML er Antworten oder Assertionen signiert. Als bewährte Methode für die Sicherheit müssen Sie Ihren IdP so konfigurieren, dass die SAML Antwort, SAML die Assertion oder beides signieren.
Aktivieren des Validierungszertifikats des Identitätsanbieters: Um das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktivieren zu können, muss das Zertifikat Ihres IdP-Anbieters von einer Zertifizierungsstelle ausgestellt werden.Viele beliebte Identitätsanbieter generieren standardmäßig selbstsignierte IdP-Zertifikate, aber ADFS Azure AD , Okta, Ping One und OneLogin bieten eine Möglichkeit, CA- ausgestellte IdP-Zertifikate zu verwenden.
IDP Anbieter | Alle Maßnahmen, die zum Senden einer signierten SAML Antwort/Assertion erforderlich sind? | Bietet IDP eine Option zum Verwenden von Zertifikaten, die von der Zertifizierungsstelle ausgestellt wurden, um das Kontrollkästchen Identitätsanbieterzertifikat überprüfen auf dem firewall ? |
ADFS | Nein | |
Azure AD | Nein | |
duo | Duo Access Gateway verfügt über einen einzigen Signaturschlüssel für alle SPs, selbst wenn sie das Zertifikat ändern würden, würde dies mehr als nur die Konfiguration mit palo Alto Networks-Geräten beeinträchtigen. Kunden sollten ihre PAN-OS Aufwertung auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder PAN-OS neuere Versionen aktualisieren. | |
Google Cloud-Identität | Nein | Keine |
Okta | ||
Ping One | Nein | |
OneLogin | Nein | |
Andere IdPs | Stellen Sie sicher, dass Sie Ihren IdP so konfiguriert haben, dass SAML er Antworten oder Assertionen signiert. | Erkundigen Sie sich beim IdP-Administrator, ob Sie ausgestellte Zertifikate für das Zertifikat konfigurieren CA- IDP können. |
ADFS
Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS
Schritt 1 - Hinzufügen eines CA- ausgestellten Zertifikats als Tokensignaturzertifikat auf ADFS
Hinweis: Das IDP Zertifikat (auch Tokensignaturzertifikat genannt) ADFS für ist global, es ist nicht pro Dienstanbieter. Wenn das Zertifikat geändert wird, müssen alle vertrauenden Parteien ADFS in aktualisiert werden, um das neue Tokensignaturzertifikat zu akzeptieren.
- Generieren Sie ein Zertifikat mit Ihrer Unternehmenszertifizierungsstelle.
- Befolgen Sie den Anweisungen von Microsoft, um das Zertifikat für das Tokensignierzertifikat hinzuzufügen: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/add-a-token-signing-certificate
Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS
Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:
- Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
- Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
- Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
- Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
- Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .
Azure AD
Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS
Schritt 1 - Hinzufügen eines CA- ausgestellten Zertifikats als IdP-Zertifikat in Azure AD
- Generieren Sie ein Zertifikat mit Ihrer Unternehmenszertifizierungsstelle.
- Befolgen Sie den Anweisungen aus AD Azure, um ein neues CA- ausgestelltes Zertifikat https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificatehinzuzufügen.
- Löschen Sie das alte Zertifikat, bevor Sie die IdP-Metadaten exportieren, um den nächsten Schritt abzuschließen.
Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS
Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:
- Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
- Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
- Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
- Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
- Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .
Schritte zum Senden signierter Antworten oder Assertionen von Duo
Sie können SAML die Konfiguration auf drei Arten einrichten:
- Anwendung: Generischer Dienstanbieter, Schutztyp: 2FA mit SSO gehostet von Duo (Single Sign-On)
- Es sind keine zusätzlichen Aktionen erforderlich, um SAML signierte Antworten oder Assertionen von Duo zu senden.
- Bewerbung: Palo Alto Networks, Schutztyp: 2FA mit SSO selbst gehostetem (Duo Access Gateway)
- Es sind keine zusätzlichen Aktionen erforderlich, um SAML signierte Antworten oder Assertionen von Duo zu senden.
- Bewerbung: Generischer Dienstanbieter, Schutztyp: 2FA mit SSO selbst gehostetem (Duo Access Gateway)
- Wenn Sie die Konfiguration mit dieser Anwendung erstellt SAML haben, werden standardmäßig Ihre SAML Antworten und Assertionen signiert. So überprüfen Sie, ob Ihre SAML Antworten und/oder Assertionen signiert sind:
- Klicken Sie auf die Von Ihnen erstellte Anwendung des generischen Dienstanbieters.
- Stellen Sie sicher, dass entweder Antwort signieren, Assertion signierenoder beide ausgewählt sind, und klicken Sie dann auf Konfiguration speichern.
Okta
Schritte zum Senden signierter Antworten oder Assertionen von Okta
Sie können SAML die Konfiguration auf zwei Arten einrichten:
Okta Integration Network ( OIN ) Integration:
- Wenn Sie eine der folgenden Integrationen OIN (Okta Integration Network) verwendet haben, ist keine zusätzliche Aktion erforderlich, um SAML signierte Antworten oder Assertionen von Okta zu senden.
- Palo Alto Netzwerke - GlobalProtect
- Palo Alto Netzwerke - Admin UI
- Palo Alto Netzwerke - CaptivePortal
App-Integrations-Assistent
- Wenn Sie die SAML Konfiguration mit dem App-Integrations-Assistentenerstellt haben, werden Ihre Antworten standardmäßig SAML signiert.So überprüfen Sie, ob Ihre SAML Antworten signiert sind:
- Klicken Sie auf die von Ihnen erstellte neue Anwendungsintegration, und wählen Sie Allgemeine > SAMLEinstellungen > Bearbeiten aus.
- Klicken Sie auf Weiter, und wählen Sie unter Konfigurieren SAMLaus Erweiterte Einstellungen anzeigen aus.
- Stellen Sie sicher, dass Sie entweder Antwort- oder Assertionssignatur für Signiertkonfiguriert haben.
Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS
Schritt 1 - Fügen Sie eine CA- Ausgestelltes Zertifikat als IDP Zertifikat auf Okta
Folgen Sie den Anweisungen von Okta, um ein CA- ausgestelltes Zertifikat als Zertifikat mithilfe der IDP Okta-Dokumentation zu konfigurieren: https://developer.okta.com/docs/guides/sign-your-own-saml-csr/overview/
- Um den CSR Schritt In der Okta-Dokumentationsignieren abzuschließen, müssen Sie Ihren Enterprise-Prozess befolgen, um die zu CSR signieren. Im Folgenden finden Sie eine kurze Anleitung, wie Sie dies mithilfe von Microsoft Certificate Authority und OpenSSL erreichen können:
- Microsoft Certificate Authority verwenden: Speichern Sie den CSR aus dem Schritt Erstellen einer Zertifikatsignaturanforderung ( CSR erhaltenen Produktder in der Okta-Dokumentation , und verwenden Sie die Anweisungen auf der MSFTTechnet-Website, um die zu signieren. CSR Durch Das Signieren des CSR erstellt wird ein signiertes Zertifikat, das Sie im Schritt Veröffentlichen CSR in der Okta-Dokumentation an Okta zurückgeben müssen.
- Verwenden von OpenSSL: Speichern Sie den CSR aus dem Schritt Erstellen einer Zertifikatsignaturanforderung ( CSR ) erhaltenen Befehl in der Okta-Dokumentation, und verwenden Sie den Befehl OpenSSL, CA um das zu signieren, CSR das ein signiertes Zertifikat erstellt, das Sie im nächsten Schritt an Okta zurückgeben müssen, Veröffentlichen der CSR. Ein Beispiel für den Befehl finden Sie unten, weitere Informationen finden Sie in der OpenSSL-Dokumentation.
- openssl ca -config <openssl config="" file="">-in CSR erhalten <certificate.cer> oben> -out</openssl>
Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS
Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:
- Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
- Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
- Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
- Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
- Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .
Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS
Schritt 1 - Hinzufügen eines IdP-Zertifikats mit CA Flag auf OneLogin
Befolgen Sie den Anweisungen von OneLogin, um ein Zertifikat mit einem CA Flag in der Erweiterung "Grundlegende Einschränkungen" zu erstellen:
https://onelogin.service-now.com/support?id=kb_article&sys_id=732a9943db109700d5505eea4b96192e
- Hinweis: Sie müssen das CA Flag in Schritt 7 des obigen Links aktivieren. Dieser Schritt ist obligatorisch.
Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS
Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:
- Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
- Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
- Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
- Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
- Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .
Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS
Schritt 1 - Hinzufügen eines CA- ausgestellten Zertifikats als IdP-Zertifikat auf PingOne
Befolgen Sie den Anweisungen von PingOne, um ein CA- ausgestelltes Zertifikat als Zertifikat zu IDP konfigurieren: https://docs.pingidentity.com/bundle/pingone/page/mfi1564020498415-1.html
Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS
Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:
- Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten.
- Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. Klicken Sie auf OK .
- Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat.
- Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu.
- Übertragen Sie die Konfiguration an Panorama und/oder an die firewall .