Configuración del proveedor de identidades para SAML
Objective
- Proporcione los pasos sobre cualquier acción adicional necesaria en SAML idp para que envíe SAML respuestas o aserciones firmadas.
- Proporcione los pasos para configurar un CA- certificado emitido en su IdP para que pueda habilitar la casilla validar certificado de proveedor de identidad en la casilla de verificación firewall y Panorama .
Environment
SAML IDP
Procedure
Resumen rápido:
Firmado SAML Respuesta: Si el IdP que está usando es ADFS , Azure , AD Google, OneLogin, PingFederate o PingOne, no es necesario realizar ninguna acción para enviar SAML respuestas o aserciones firmadas. Si está utilizando Okta o cualquier otro IdP, compruebe si ha configurado su IdP para firmar SAML respuestas o aserciones. Como práctica recomendada de seguridad, debe configurar su IdP para firmar la respuesta, la SAML SAML aserción o ambos.
Habilitar certificado de proveedor de identidad de validación: Para poder habilitar la casilla validar certificado de proveedor de identidades, el certificado de su proveedor idp debe ser emitido por una entidad de certificación.Muchos proveedores de identidades populares generan certificados idp autofirmados de forma predeterminada, pero ADFS , AD Azure, Okta, Ping One y OneLogin proporcionan una manera de usar CA- certificados de idp emitidos.
IDP Proveedor | ¿Alguna acción necesaria para enviar una SAML respuesta/afirmación firmada? | ¿Proporciona IDP una opción para usar el certificado emitido por certificate authority para habilitar validate identity provider certificate casilla de verificación en el firewall ? |
ADFS | No | |
Azul AD | No | |
Dúo | Duo Access Gateway tiene una única clave de firma para todos los SPs, así que incluso si cambiaran el certificado, afectaría más que solo a su configuración con el dispositivo Palo Alto Networks. Los clientes deben actualizar sus PAN-OS PAN-OS versiones 8.1.15, 9.0.9, 9.1.3 o posteriores PAN-OS | |
Identidad en la nube de Google | No | Ningún |
Okta | ||
Ping Uno | No | |
OneLogin | No | |
Otros desplazados internos | Compruebe que ha configurado su IdP para firmar SAML respuestas o afirmaciones. | Consulte con el administrador idp si puede configurar CA- el certificado emitido para el IDP certificado. |
ADFS
Pasos para configurar CA- el certificado emitido y habilitar validar el certificado de proveedor de identidades en PAN-OS
Paso 1 - Agregar un CA- certificado emitido como certificado de firma de tokens en ADFS
Nota: El IDP certificado (también denominado certificado de firma de token) ADFS para es global, no es por proveedor de servicios. Si se cambia el certificado, todas las Partes de confianza ADFS deben actualizarse para aceptar el nuevo certificado de firma de tokens.
- Genere un certificado mediante la entidad de certificación empresarial.
- Siga las instrucciones de Microsoft para agregar el certificado de firma de token: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/add-a-token-signing-certificate
Paso 2 - Importar metadatos y habilitar "Validar certificado de proveedor de identidad" en PAN-OS
Una vez que se ha configurado un CA- certificado emitido en su IdP, debe volver a registrar el IdP dentro y PAN-OS Panorama . Para hacer esto:
- Pregunte a su administrador idp por metadatos idp.
- Importe los metadatos de IdP en PAN-OS y/o Panorama asegúrese de que la casilla validar certificado de proveedor de identidad está habilitada. Haga clic en OK .
- Cree un perfil de certificado utilizando el mismo CA certificado que ha emitido el certificado del IdP.
- Agregue el perfil y el perfil de certificado del servidor idp recién creados a su SAML perfil de autenticación.
- Confirme la configuración con Panorama y/o el firewall archivo .
Azul AD
Pasos para configurar CA- el certificado emitido y habilitar validar el certificado de proveedor de identidades en PAN-OS
Paso 1 - Agregar un CA- certificado emitido como certificado de idp en Azure AD
- Genere un certificado mediante la entidad de certificación empresarial.
- Siga las instrucciones de Azure AD para agregar un nuevo certificado emitido CA- https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate.
- Elimine el certificado antiguo antes de exportar los metadatos de IdP para completar el siguiente paso.
Paso 2 - Importar metadatos y habilitar "Validar certificado de proveedor de identidad" en PAN-OS
Una vez que se ha configurado un CA- certificado emitido en su IdP, debe volver a registrar el IdP dentro y PAN-OS Panorama . Para hacer esto:
- Pregunte a su administrador idp por metadatos idp.
- Importe los metadatos de IdP en PAN-OS y/o Panorama asegúrese de que la casilla validar certificado de proveedor de identidad está habilitada. Haga clic en OK .
- Cree un perfil de certificado utilizando el mismo CA certificado que ha emitido el certificado del IdP.
- Agregue el perfil y el perfil de certificado del servidor idp recién creados a su SAML perfil de autenticación.
- Confirme la configuración con Panorama y/o el firewall archivo .
Pasos para enviar respuestas firmadas o afirmaciones de Duo
Puede configurar SAML la configuración de tres maneras:
- Aplicación: Proveedor de servicios genérico, tipo de protección:2FA con SSO hospedado por Duo (inicio de sesión único)
- No se requiere ninguna acción adicional para enviar respuestas SAML firmadas o afirmaciones de Duo.
- Aplicación: Palo Alto Networks, Tipo de protección: 2FA con SSO autohospedado (Duo Access Gateway)
- No se requiere ninguna acción adicional para enviar respuestas SAML firmadas o afirmaciones de Duo.
- Aplicación: Proveedor de servicios genérico, tipo de protección:2FA con SSO autohospedado (Duo Access Gateway)
- Si creó la SAML configuración mediante esta aplicación, de forma predeterminada se firman las SAML respuestas y aserciones. Para comprobar que SAML sus respuestas y/o aserciones están firmadas:
- Haga clic en la aplicación Proveedor de servicios genéricos que creó.
- Asegúrese de que la respuesta de firma, la aserción de signoso ambas están seleccionadas y, a continuación, haga clic en Guardar configuración.
Okta
Pasos para enviar respuestas firmadas o afirmaciones de Okta
Puede configurar SAML la configuración de dos maneras:
Integración de Okta Integration Network ( OIN ) Integración:
- Si ha utilizado cualquiera de las siguientes integraciones en OIN (Okta Integration Network), no se requiere ninguna acción adicional para enviar SAML respuestas firmadas o aserciones de Okta.
- Redes palo alto - GlobalProtect
- Palo Alto Networks - Admin UI
- Redes palo alto - CaptivePortal
Asistente de integración de aplicaciones
- Si creó la SAML configuración mediante el Asistente para integración deaplicaciones, de forma SAML predeterminada, las respuestas están firmadas.Para verificar que SAML sus respuestas están firmadas:
- Haga clic en la nueva integración de aplicaciones que creó y seleccione SAMLConfiguración general de > > Editar.
- Haga clic en Siguientey, en Configurar SAML, seleccione Mostrar configuración avanzada
- Compruebe que ha configurado la firma de respuesta o aserción en firmada.
Pasos para configurar CA- el certificado emitido y habilitar validar el certificado de proveedor de identidades en PAN-OS
Paso 1 - Añadir un CA- Certificado emitido como IDP Certificado en Okta
Siga las instrucciones de Okta para configurar un CA- certificado emitido como certificado utilizando la documentación de IDP Okta aquí: https://developer.okta.com/docs/guides/sign-your-own-saml-csr/overview/
- Para completar la firma del CSR paso en la documentación de Okta,debe seguir su proceso empresarial para firmar el CSR archivo . Aquí hay una guía rápida sobre cómo lograr esto usando Microsoft Certificate Authority y OpenSSL:
- Uso de Microsoft Certificate Authority: guarde el obtenido desde el paso Generar una solicitud de firma de certificado ( CSR CSR ) en la documentación de Okta y use las instrucciones del MSFT sitio de Technet para firmar el CSR archivo . Firmar crea CSR un certificado firmado que debe devolver a Okta en el paso Publicar el CSR paso de la documentación de Okta.
- Uso de OpenSSL: guarde el CSR obtenido desde el paso Generar una solicitud de firma de certificado ( CSR ) en la documentación de Okta y utilice el CA comando OpenSSL para firmar el CSR que crea un certificado firmado que debe devolver a Okta en el paso siguiente, Publicar el CSR. A continuación se muestra un ejemplo del comando, pero consulte la documentación de OpenSSL para obtener más información.
- openssl ca -config <openssl config="" file="">-in CSR obtenido arriba> <certificate.cer> -out</openssl>
Paso 2 - Importar metadatos y habilitar "Validar certificado de proveedor de identidad" en PAN-OS
Una vez que se ha configurado un CA- certificado emitido en su IdP, debe volver a registrar el IdP dentro y PAN-OS Panorama . Para hacer esto:
- Pregunte a su administrador idp por metadatos idp.
- Importe los metadatos de IdP en PAN-OS y/o Panorama asegúrese de que la casilla validar certificado de proveedor de identidad está habilitada. Haga clic en OK .
- Cree un perfil de certificado utilizando el mismo CA certificado que ha emitido el certificado del IdP.
- Agregue el perfil y el perfil de certificado del servidor idp recién creados a su SAML perfil de autenticación.
- Confirme la configuración con Panorama y/o el firewall archivo .
Pasos para configurar CA- el certificado emitido y habilitar validar el certificado de proveedor de identidades en PAN-OS
Paso 1 - Agregue un certificado idp con CA el indicador en OneLogin
Siga las instrucciones de OneLogin para crear un certificado con un CA indicador en la extensión Restricciones básicas:
https://onelogin.service-now.com/support?id=kb_article&sys_id=732a9943db109700d5505eea4b96192e
- Nota: Usted debe habilitar el CA indicador en el paso 7 del link arriba. Ese paso es obligatorio.
Paso 2 - Importar metadatos y habilitar "Validar certificado de proveedor de identidad" en PAN-OS
Una vez que se ha configurado un CA- certificado emitido en su IdP, debe volver a registrar el IdP dentro y PAN-OS Panorama . Para hacer esto:
- Pregunte a su administrador idp por metadatos idp.
- Importe los metadatos de IdP en PAN-OS y/o Panorama asegúrese de que la casilla validar certificado de proveedor de identidad está habilitada. Haga clic en OK .
- Cree un perfil de certificado utilizando el mismo CA certificado que ha emitido el certificado del IdP.
- Agregue el perfil y el perfil de certificado del servidor idp recién creados a su SAML perfil de autenticación.
- Confirme la configuración con Panorama y/o el firewall archivo .
Pasos para configurar CA- el certificado emitido y habilitar validar el certificado de proveedor de identidades en PAN-OS
Paso 1 - Agregue un CA- certificado emitido como certificado idp en PingOne
Siga las instrucciones de PingOne para configurar un CA- certificado emitido como IDP certificado: https://docs.pingidentity.com/bundle/pingone/page/mfi1564020498415-1.html
Paso 2 - Importar metadatos y habilitar "Validar certificado de proveedor de identidad" en PAN-OS
Una vez que se ha configurado un CA- certificado emitido en su IdP, debe volver a registrar el IdP dentro y PAN-OS Panorama . Para hacer esto:
- Pregunte a su administrador idp por metadatos idp.
- Importe los metadatos de IdP en PAN-OS y/o Panorama asegúrese de que la casilla validar certificado de proveedor de identidad está habilitada. Haga clic en OK .
- Cree un perfil de certificado utilizando el mismo CA certificado que ha emitido el certificado del IdP.
- Agregue el perfil y el perfil de certificado del servidor idp recién creados a su SAML perfil de autenticación.
- Confirme la configuración con Panorama y/o el firewall archivo .