使用 AzureAD 启用验证身份提供商证书 FW CA

快速总结：

已签名 SAML 回复：如果您使用的IdP是 ADFS ，Azure， AD 谷歌，OneLogin，平费德拉特或PingOne，您不需要采取任何行动来发送签名 SAML 的回复或断言。 如果您正在使用 Okta 或任何其他 Idp，请检查您是否已配置 IDP 以签署 SAML 响应或断言。 作为安全最佳实践，您必须配置 IDP 才能签署 SAML 响应、 SAML 断言或两者兼有。

启用验证身份提供商证书：为了能够启用验证身份提供商证书复选框，您的 IdP 提供商的证书必须由证书管理局签发。许多流行的身份提供商默认生成自签名的 IdP 证书 ADFS ，但是，Azure、Okta、Ping AD One 和 OneLogin 提供了使用 CA- 已颁发的 IdP 证书的方法。

本文讨论了解决方案，以启用验证身份提供商证书，而无需 SAML 升级配置与 AD Azure。

• NGFW， VM- 系列
• Panorama
• GlobalProtect 门户/网关
• Prisma Access
• SAML

配置 CA- 已颁发证书并启用验证身份提供商证书的步骤 PAN-OS 

第 1 步 - 在 CA- Azure 上添加已颁发的证书作为 Idp 证书 AD

1. 按照 Azure 的指示 AD 添加新 CA- 颁发的证书https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate
2. 请在导出 IdP 元数据以完成下一步之前删除旧证书。

一旦 CA- 您的 IdP 上设置了已颁发的证书，您必须在 IDP 内部 PAN-OS 和 Panorama 。 为此, 请执行以下操作:

1. 向 IDP 管理员询问 IDP 元数据
2. 将 IdP 元数据导入 PAN-OS 和/或 Panorama 并确保启用验证身份提供商证书复选框。 点击 OK
3. 使用 CA 已签发 IDP 证书的相同证书创建证书配置文件
4. 将新创建的 IdP 服务器配置文件和证书配置文件添加到您的 SAML 身份验证配置文件
5. 将配置提交给 Panorama 和/或 firewall

 

6. PKCS12 文件格式的出口证书

 

7. 登录到 Azure 门户并选择 Azure 活动目录

 

8. 选择 企业应用程序

 

9. 选择 全球保护

10. 在全球保护下，选择 单个登录

 

11. SAML-在基于登录的情况下，选择SAML签名证书选项

 

12. 带密码的进口证书（SAML_AzureSign） PFX

13. 导入证书后，请务必激活并删除前一个
14. 现在，联邦元数据 XML 可以下载或导出到 firewall

15. 导入下载元数据到 firewall

 

16. SAML 配置文件将显示与链接，调用SAML_AzureSign证书在选项身份提供商证书

17. 使用根和中间证书创建证书配置文件

18. 导航到 Auth 配置文件，调用 IdP 服务器和证书配置文件

19. 提交所有更改并尝试登录到任何使用 SAML 身份验证配置文件的功能