Configuration du fournisseur d’identité pour SAML
Objective
- Fournissez des étapes sur toute action supplémentaire nécessaire sur SAML IdP pour qu’il envoie des réponses SAML ou des affirmations signées.
- Fournissez des étapes pour CA- configurer un certificat émis sur votre IdP afin que vous puissiez activer la case à cocher validate identity provider certificate sur le firewall et Panorama .
Environment
SAML IDP
Procedure
Résumé rapide:
Signé (signé) SAML Réponse: Si l’IdP que vous utilisez est ADFS , Azure AD , Google, OneLogin, PingFederate ou PingOne, vous n’avez pas besoin de prendre des mesures pour envoyer des SAML réponses ou des affirmations signées. Si vous utilisez Okta ou tout autre IdP, veuillez vérifier si vous avez configuré votre IdP pour signer des réponses SAML ou des affirmations. En tant que meilleure pratique en matière de sécurité, vous devez configurer votre IdP pour signer la SAML réponse, SAML l’affirmation ou les deux.
Activer le certificat de fournisseur d’identité validé : Afin d’être en mesure d’activer la case à cocher validate identity provider certificate, le certificat de votre fournisseur IdP doit être délivré par une autorité de certificat.De nombreux fournisseurs d’identité populaires génèrent des certificats IdP autosignés par ADFS défaut, mais , Azure, AD Okta, Ping One et OneLogin fournissent un moyen d’utiliser CA- les certificats IdP délivrés.
IDP Fournisseur | Toute action nécessaire pour envoyer une réponse SAML signée / affirmation? | IDPOffre-t-il la possibilité d’utiliser un certificat délivré par l’Autorité des certificats pour permettre de valider la case à cocher du certificat de fournisseur d’identité sur le firewall ? |
ADFS | N° | |
Azure AD | N° | |
duo | Duo Access Gateway a une clé de signature unique pour tous les SPs, donc même s’ils ont changé le cert, il aurait un impact plus que leur configuration avec Palo Alto Networks dispositif. Les clients doivent mettre à PAN-OS PAN-OS niveau leurs versions 8.1.15, 9.0.9, 9.1.3 ou PAN-OS ultérieures | |
Identité Google Cloud | N° | Aucun |
Okta | ||
Ping Un | N° | |
OneLogin | N° | |
Autres personnes déplacées | Veuillez vérifier que vous avez configuré votre IdP pour signer des SAML réponses ou des affirmations. | S’il vous plaît vérifier auprès de l’administrateur IdP si vous CA- pouvez configurer cert émis pour IDP le certificat. |
ADFS
Étapes pour configurer CA- le certificat délivré et activer le certificat de fournisseur d’identité validé sur PAN-OS
Étape 1 - Ajouter un certificat CA- délivré en tant que certificat de signature de jetons sur ADFS
Remarque : Le certificat IDP (aussi appelé certificat de signature symbolique) est ADFS global, il n’est pas par fournisseur de services. Si le certificat est modifié, toutes les parties qui comptent doivent ADFS être mises à jour pour accepter le nouveau certificat de signature symbolique.
- Générez un certificat à l’aide de votre autorité de certificat d’entreprise.
- Suivez les instructions de Microsoft pour ajouter le certificat de signature symbolique : https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/add-a-token-signing-certificate
Étape 2 - Importer des métadonnées et activer le « certificat de fournisseur d’identité validé » PAN-OS
Une fois CA- qu’un certificat délivré a été mis en place sur votre IdP, vous devez ré-enregistrer l’IdP à l’intérieur PAN-OS et Panorama . Pour ce faire:
- Demandez à votre administrateur IdP des métadonnées IdP.
- Importez les métadonnées IdP dans PAN-OS et/ou et Panorama assurez-vous que la case à cocher valider le certificat de fournisseur d’identité est activée. Cliquez OK sur .
- Créez un profil de certificat à CA l’aide du même certificat qui a délivré le certificat de l’IdP.
- Ajoutez le profil serveur idp nouvellement créé et le profil de certificat à votre profil SAML d’authentification.
- Engagez la configuration Panorama vers et/ou le firewall .
Azure AD
Étapes pour configurer CA- le certificat délivré et activer le certificat de fournisseur d’identité validé sur PAN-OS
Étape 1 - Ajouter un CA- certificat délivré en tant que certificat IdP sur Azure AD
- Générez un certificat à l’aide de votre autorité de certificat d’entreprise.
- Suivez les instructions d’Azure AD pour ajouter un nouveau certificat délivré CA- https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate.
- Veuillez supprimer l’ancien certificat avant d’exporter les métadonnées IdP pour compléter l’étape suivante.
Étape 2 - Importer des métadonnées et activer le « certificat de fournisseur d’identité validé » PAN-OS
Une fois CA- qu’un certificat délivré a été mis en place sur votre IdP, vous devez ré-enregistrer l’IdP à l’intérieur PAN-OS et Panorama . Pour ce faire:
- Demandez à votre administrateur IdP des métadonnées IdP.
- Importez les métadonnées IdP dans PAN-OS et/ou et Panorama assurez-vous que la case à cocher valider le certificat de fournisseur d’identité est activée. Cliquez OK sur .
- Créez un profil de certificat à CA l’aide du même certificat qui a délivré le certificat de l’IdP.
- Ajoutez le profil serveur idp nouvellement créé et le profil de certificat à votre profil SAML d’authentification.
- Engagez la configuration Panorama vers et/ou le firewall .
Étapes d’envoi de réponses ou d’affirmations signées de Duo
Vous pouvez configurer SAML configuration de trois façons :
- Application: Fournisseur de services génériques, type deprotection : 2FA hébergé par SSO Duo (Single Sign-On)
- Aucune action supplémentaire n’est nécessaire pour envoyer des réponses SAML ou des affirmations signées de Duo.
- Application: Palo Alto Networks, Type de protection: 2FA avec SSO auto-hébergé (Duo Access Gateway)
- Aucune action supplémentaire n’est nécessaire pour envoyer des réponses SAML ou des affirmations signées de Duo.
- Application: Fournisseur de services génériques, type deprotection : 2FA SSO avec auto-hébergé (Passerelle d’accès Duo)
- Si vous avez créé la SAML configuration à l’aide de cette application, par défaut SAML vos réponses et affirmations sont signées. Pour vérifier que vos SAML réponses et/ou affirmations sont signées :
- Cliquez sur l’application Fournisseur de services génériques que vous avez créée.
- Assurez-vous que soit la réponse dusigne , l’affirmationdu signe , ou les deux sont sélectionnés, puis cliquez sur Enregistrer configuration.
Okta
Étapes d’envoi de réponses ou d’affirmations signées d’Okta
Vous pouvez configurer SAML configuration de deux façons :
Okta Integration Network ( OIN ) Intégration:
- Si vous avez utilisé l’une des intégrations ci-dessous OIN sur (Okta Integration Network), aucune action supplémentaire n’est nécessaire pour envoyer des réponses SAML signées ou des affirmations d’Okta.
- Réseaux Palo Alto - GlobalProtect
- Palo Alto Networks - Admin UI
- Palo Alto Networks - CaptivePortal
Assistant d’intégration d’applications
- Si vous avez créé la SAML configuration à l’aide de l’assistant d’intégrationd’application, par défaut SAML vos réponses sont signées.Pour vérifier que vos SAML réponses sont signées :
- Cliquez sur la nouvelle intégration d’application que vous avez créée et sélectionnez Paramètres > SAML > Modifier.
- Cliquez sur Suivant, et sur Configurer SAML, sélectionnez Afficher les paramètres avancés
- Vérifiez que vous avez configuré la signature de réponse ou d’assertion à signé.
Étapes pour configurer CA- le certificat délivré et activer le certificat de fournisseur d’identité validé sur PAN-OS
Étape 1 - Ajouter un CA- Certificat délivré en tant IDP que certificat sur Okta
Suivez les instructions d’Okta pour configurer CA- un certificat délivré comme certificat en utilisant la documentation IDP Okta ici: https://developer.okta.com/docs/guides/sign-your-own-saml-csr/overview/
- Afin de compléter le Signe de l’étape CSR dans la documentation Okta, vous devez suivre votre processus d’entreprise pour signer le CSR . Voici un guide rapide sur la façon d’y parvenir en utilisant Microsoft Certificate Authority et OpenSSL :
- Utilisation de Microsoft Certificate Authority: Enregistrer les obtenus à partir de la demande de signature de certificat Générer CSR CSR () étape dans la documentation Okta et utiliser les instructions sur MSFT le site Technet pour signer le CSR . Signature de CSR la crée un certificat signé que vous devez passer à Okta dans le Publier l’étape CSR dans la documentation Okta.
- Utilisation d’OpenSSL: Enregistrez CSR l’obtenu à partir de la demande de signature de certificat Générer CSR () étape dans la documentation Okta et utilisez la commande OpenSSL CA pour signer le qui crée un certificat signé que CSR vous devez passer à Okta dans l’étape suivante, Publier le CSR. Un exemple de la commande est indiqué ci-dessous, mais veuillez consulter la documentation OpenSSL pour plus d’informations.
- openssl ca -config <openssl config="" file="">-in obtenu CSR ci-dessus> -out <certificate.cer> </openssl>
Étape 2 - Importer des métadonnées et activer le « certificat de fournisseur d’identité validé » PAN-OS
Une fois CA- qu’un certificat délivré a été mis en place sur votre IdP, vous devez ré-enregistrer l’IdP à l’intérieur PAN-OS et Panorama . Pour ce faire:
- Demandez à votre administrateur IdP des métadonnées IdP.
- Importez les métadonnées IdP dans PAN-OS et/ou et Panorama assurez-vous que la case à cocher valider le certificat de fournisseur d’identité est activée. Cliquez OK sur .
- Créez un profil de certificat à CA l’aide du même certificat qui a délivré le certificat de l’IdP.
- Ajoutez le profil serveur idp nouvellement créé et le profil de certificat à votre profil SAML d’authentification.
- Engagez la configuration Panorama vers et/ou le firewall .
Étapes pour configurer CA- le certificat délivré et activer le certificat de fournisseur d’identité validé sur PAN-OS
Étape 1 - Ajouter un certificat IdP avec CA drapeau sur OneLogin
Suivez les instructions de OneLogin pour créer un certificat avec un drapeau CA dans l’extension Contraintes de base :
https://onelogin.service-now.com/support?id=kb_article&sys_id=732a9943db109700d5505eea4b96192e
- Remarque : Vous devez activer le drapeau CA à l’étape 7 du lien ci-dessus. Cette étape est obligatoire.
Étape 2 - Importer des métadonnées et activer le « certificat de fournisseur d’identité validé » PAN-OS
Une fois CA- qu’un certificat délivré a été mis en place sur votre IdP, vous devez ré-enregistrer l’IdP à l’intérieur PAN-OS et Panorama . Pour ce faire:
- Demandez à votre administrateur IdP des métadonnées IdP.
- Importez les métadonnées IdP dans PAN-OS et/ou et Panorama assurez-vous que la case à cocher valider le certificat de fournisseur d’identité est activée. Cliquez OK sur .
- Créez un profil de certificat à CA l’aide du même certificat qui a délivré le certificat de l’IdP.
- Ajoutez le profil serveur idp nouvellement créé et le profil de certificat à votre profil SAML d’authentification.
- Engagez la configuration Panorama vers et/ou le firewall .
Étapes pour configurer CA- le certificat délivré et activer le certificat de fournisseur d’identité validé sur PAN-OS
Étape 1 - Ajouter un CA- certificat délivré comme certificat IdP sur PingOne
Suivez les instructions de PingOne pour configurer CA- un certificat délivré comme certificat : IDP https://docs.pingidentity.com/bundle/pingone/page/mfi1564020498415-1.html
Étape 2 - Importer des métadonnées et activer le « certificat de fournisseur d’identité validé » PAN-OS
Une fois CA- qu’un certificat délivré a été mis en place sur votre IdP, vous devez ré-enregistrer l’IdP à l’intérieur PAN-OS et Panorama . Pour ce faire:
- Demandez à votre administrateur IdP des métadonnées IdP.
- Importez les métadonnées IdP dans PAN-OS et/ou et Panorama assurez-vous que la case à cocher valider le certificat de fournisseur d’identité est activée. Cliquez OK sur .
- Créez un profil de certificat à CA l’aide du même certificat qui a délivré le certificat de l’IdP.
- Ajoutez le profil serveur idp nouvellement créé et le profil de certificat à votre profil SAML d’authentification.
- Engagez la configuration Panorama vers et/ou le firewall .