如何配置身份验证策略时,俘虏门户与 SAML 认证在帕洛阿尔托网络 firewall 。
32142
Created On 07/02/20 06:58 AM - Last Modified 03/26/21 18:27 PM
Objective
本文解释了配置身份验证策略的其他警告。
要了解配置的基本配置 SAML ,请参阅管理员指南中的以下部分 PAN-OS 。
Environment
- 用身份验证配置俘虏门户 SAML 。
- 流量到 Idp SAML 的路径通过 firewall 。
Procedure
- policy SAML 通过按照文档中的步骤配置 SAML 身份验证
- 下面介绍了一个配置示例。
- 在屏幕截图中,"CP-身份规则"被配置。
- 但是,如果只配置"CP-身份规则"而不进行 排除-Auth 规则,则向 IdP 请求也与"CP-身份规则"匹配,并且它永远不会到达 IdP。
- 为了避免这种情况,可配置另一个身份验证 Policy ,该身份验证将服务提供商(在此情景中的捕获门户)到 IdP 的流量排除在匹配的俘虏门户之外。
- 它是屏幕截图中的"排除-身份验证规则"。
- 在身份验证执行中设置"默认无俘虏门户",并应用"自定义 URL 分类y",其中包括 URL IDP。
- 然后,将其定位为"CP-奥特规则"。
- 对 IdP 的请求通过"排除-身份验证规则"从处理俘虏门户中排除。