标识提供程序配置 SAML
Objective
- 提供 IdP 上所需的任何附加操作 SAML 的步骤,以发送已签名 SAML 的响应或断言。
- 提供步骤来配置 CA- 您的IdP上已颁发的证书,以便您可以启用验证身份提供商证书复选框上 firewall 和 Panorama 。
Environment
SAML IDP
Procedure
快速总结:
已签名 SAML 回复:如果您使用的IdP是 ADFS ,Azure, AD 谷歌,OneLogin,平费德拉特或PingOne,您不需要采取任何行动来发送签名 SAML 的回复或断言。 如果您正在使用 Okta 或任何其他 Idp,请检查您是否已配置 IDP 以签署 SAML 响应或断言。 作为安全最佳实践,您必须配置 IDP 才能签署 SAML 响应、 SAML 断言或两者兼有。
启用验证身份提供商证书: 为了能够启用 验证身份提供商证书 复选框,您的 IdP 提供商的证书必须由证书管理局签发。许多流行的身份提供商默认生成自签名的 IdP 证书 ADFS ,但是,Azure、Okta、Ping AD One 和 OneLogin 提供了使用 CA- 已颁发的 IdP 证书的方法。
IDP 供应商 | 发送签名回复/断言需要采取什么行动 SAML ? | 是否 IDP 提供使用证书管理局签发的证书的选项,以便在 firewall " ? |
ADFS | 不 | |
蔚蓝 AD | 不 | |
多 | Duo Access 网关对所有 SP 都有单个签名密钥,因此即使他们确实更改了证书,其影响将不仅仅是他们与 Palo Alto 网络设备的配置。 客户应将其升级 PAN-OS 到 PAN-OS 8.1.15、9.0.9、9.1.3 或更晚 PAN-OS 的版本 | |
谷歌云标识 | 不 | 任何 |
Okta | ||
平一 | 不 | |
一洛金 | 不 | |
其他IDP | 请验证您是否已配置 IDP 以签署 SAML 回复或断言。 | 如果您可以为 CA- 证书配置已颁发的证书,请咨询IdP管理员 IDP 。 |
ADFS
配置 CA- 已颁发证书并启用验证身份提供商证书的步骤 PAN-OS
第 1 步 - 在 CA- 上面添加已颁发的证书作为代币签名证书 ADFS
注: IDP 证书(也称为令牌签名证书) ADFS 为全球证书,不是每个服务提供商。 如果证书已更改, ADFS 则必须更新所有依赖方以接受新的代币签名证书。
- 使用您的企业证书管理局生成证书。
- 按照 Microsoft 的说明添加令牌签名证书 :https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/add-a-token-signing-certificate
第 2 步 - 导入元数据并启用"验证身份提供商证书" PAN-OS
一旦 CA- 您的 IdP 上设置了已颁发的证书,您必须在 IDP 内部 PAN-OS 和 Panorama 。 为此, 请执行以下操作:
- 向您的IdP管理员询问IdP元数据。
- 将 IdP 元数据导入 PAN-OS 和/或 Panorama 并确保启用 验证身份提供商证书 复选框。 单击 OK 。
- 使用 CA 已签发 IdP 证书的相同证书创建证书配置文件。
- 将新创建的 IdP 服务器配置文件和证书配置文件添加到您的 SAML 身份验证配置文件中。
- 将配置提交 给 Panorama 和/或 firewall 。
蔚蓝 AD
配置 CA- 已颁发证书并启用验证身份提供商证书的步骤 PAN-OS
第 1 步 - 在 CA- Azure 上添加已颁发的证书作为 Idp 证书 AD
- 使用您的企业证书管理局生成证书。
- 按照 Azure 的指示 AD 添加新 CA- 颁发的证书 https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate。
- 请在导出 IdP 元数据以完成下一步之前删除旧证书。
第 2 步 - 导入元数据并启用"验证身份提供商证书" PAN-OS
一旦 CA- 您的 IdP 上设置了已颁发的证书,您必须在 IDP 内部 PAN-OS 和 Panorama 。 为此, 请执行以下操作:
- 向您的IdP管理员询问IdP元数据。
- 将 IdP 元数据导入 PAN-OS 和/或 Panorama 并确保启用 验证身份提供商证书 复选框。 单击 OK 。
- 使用 CA 已签发 IdP 证书的相同证书创建证书配置文件。
- 将新创建的 IdP 服务器配置文件和证书配置文件添加到您的 SAML 身份验证配置文件中。
- 将配置提交 给 Panorama 和/或 firewall 。
从 Duo 发送签名回复或断言的步骤
您可以 SAML 通过三种方式设置配置:
- 应用程序: 通用服务提供商, 保护类型: 2FA 与 SSO 托管的二重奏 (单一登录)
- 无需采取其他行动 来发送来自 SAML Duo 的签名回复或断言。
- 申请: 帕洛阿尔托网络, 保护类型: 2FA 与 SSO 自托管 (Duo 访问网关)
- 无需采取其他行动 来发送来自 SAML Duo 的签名回复或断言。
- 申请: 通用服务提供商, 保护类型: 2FA 与 SSO 自托管 (Duo 访问网关)
- 如果您 SAML 使用此应用程序创建配置,默认情况下,您的 SAML 回复和断言已签名。 以验证您的 SAML 回复和/或断言是否已签名:
- 单击您创建的 通用服务提供商 应用程序。
- 确保选择"签名响应"""签名"或"同时选择",然后单击"保存配置"。
Okta
您可以 SAML 通过两种方式设置配置:
冈田集成网络 ( OIN ) 集成:
- 如果您在 OIN (Okta 集成网络)上使用了以下任何集成项,则无需采取其他操作才能从 Okta 发送签名 SAML 回复或断言。
- 帕洛阿尔托网络 - GlobalProtect
- 帕洛阿尔托网络 - 管理员 UI
- 帕洛阿尔托网络 - 俘虏波尔图
应用集成向导
- 如果您 SAML 使用 应用集成向导创建了配置,默认情况下,您的 SAML 响应已签名。要验证您的 SAML 回复是否已签名:
- 单击您创建的新应用集成,并选择 "一般 > SAML 设置 > 编辑。
- 单击"下一步",然后在"配置"SAML上选择"显示高级设置"
- 验证您是否已将 响应 或 断言签名配置为已签名。
配置 CA- 已颁发证书并启用验证身份提供商证书的步骤 PAN-OS
第 1 步 - 添加 CA-颁发 IDP 的证书作为 Okta 证书
按照 Okta 的指示将 CA- 已颁发的证书配置为 IDP 此处使用 Okta 文档的证书 :https://developer.okta.com/docs/guides/sign-your-own-saml-csr/overview/
- 使用微软证书管理局:保存 CSR 从 生成证书签名请求 CSR () 步骤在 Okta 文档中,并使用 MSFT Technet 网站上 的说明来签署 CSR 。 签署 CSR 创建签名的证书,您必须在 发布 CSROkta 文档中的步骤中将该证书传回 Okta。
- 使用 OpenSSL:保存 CSR 从 生成证书签名请求 CSR () 步骤在 Okta 文档中,并使用 OpenSSL CA 命令 签署 CSR 创建一个签名证书,您需要在下一步传回 Okta, 发布 CSR. 命令示例如下所示,但请参阅 OpenSSL 文档 以获取更多信息。
- 打开卡- 配置<openssl config="" file="">- 在 CSR 上面获得> - 出 <certificate.cer> </openssl>
第 2 步 - 导入元数据并启用"验证身份提供商证书" PAN-OS
一旦 CA- 您的 IdP 上设置了已颁发的证书,您必须在 IDP 内部 PAN-OS 和 Panorama 。 为此, 请执行以下操作:
- 向您的IdP管理员询问IdP元数据。
- 将 IdP 元数据导入 PAN-OS 和/或 Panorama 并确保启用 验证身份提供商证书 复选框。 单击 OK 。
- 使用 CA 已签发 IdP 证书的相同证书创建证书配置文件。
- 将新创建的 IdP 服务器配置文件和证书配置文件添加到您的 SAML 身份验证配置文件中。
- 将配置提交 给 Panorama 和/或 firewall 。
配置 CA- 已颁发证书并启用验证身份提供商证书的步骤 PAN-OS
第 1 步 - 在 CA Onelogin 上添加带有标志的 Idp 证书
按照 OneLogin 的说明创建 CA 基本约束扩展中带有标志的证书:
https://onelogin.service-now.com/support?id=kb_article&sys_id=732a9943db109700d5505eea4b96192e
- 注意:您必须在 CA 上面链接的第 7 步中启用标志。 这一步骤是强制性的。
第 2 步 - 导入元数据并启用"验证身份提供商证书" PAN-OS
一旦 CA- 您的 IdP 上设置了已颁发的证书,您必须在 IDP 内部 PAN-OS 和 Panorama 。 为此, 请执行以下操作:
- 向您的IdP管理员询问IdP元数据。
- 将 IdP 元数据导入 PAN-OS 和/或 Panorama 并确保启用 验证身份提供商证书 复选框。 单击 OK 。
- 使用 CA 已签发 IdP 证书的相同证书创建证书配置文件。
- 将新创建的 IdP 服务器配置文件和证书配置文件添加到您的 SAML 身份验证配置文件中。
- 将配置提交 给 Panorama 和/或 firewall 。
配置 CA- 已颁发证书并启用验证身份提供商证书的步骤 PAN-OS
第 1 步 - 在 CA- PingOne 上添加已颁发的证书作为 Idp 证书
按照 PingOne 的指示,将 CA- 已颁发的证书配置为 IDP 证书 :https://docs.pingidentity.com/bundle/pingone/page/mfi1564020498415-1.html
第 2 步 - 导入元数据并启用"验证身份提供商证书" PAN-OS
一旦 CA- 您的 IdP 上设置了已颁发的证书,您必须在 IDP 内部 PAN-OS 和 Panorama 。 为此, 请执行以下操作:
- 向您的IdP管理员询问IdP元数据。
- 将 IdP 元数据导入 PAN-OS 和/或 Panorama 并确保启用 验证身份提供商证书 复选框。 单击 OK 。
- 使用 CA 已签发 IdP 证书的相同证书创建证书配置文件。
- 将新创建的 IdP 服务器配置文件和证书配置文件添加到您的 SAML 身份验证配置文件中。
- 将配置提交 给 Panorama 和/或 firewall 。