So authentifizieren Sie Administratoren bei verschiedenen vsys über SAML2.0

So authentifizieren Sie Administratoren bei verschiedenen vsys über SAML2.0

2913
Created On 10/28/24 08:53 AM - Last Modified 04/04/25 20:12 PM


Objective


In diesem Artikel wird die Konfiguration beschrieben, die jedem Administrator den Zugriff auf bestimmte vsys ermöglicht, wenn die Authentifizierung auf SAML2.0 basiert. Dies basiert auf der Admininstratorfunktion und den Zugriffsdomäne .

Die Merkmal funktioniert auf einer mehrfache VSYS-Umgebung -NGFW etwas anders als auf Panorama (siehe zusätzliche Hinweise).

Environment


  • Multi-Vsys NGFW
  • SAML2.0

Procedure


OKTA-KONFIGURATION

1. Konfigurieren Sie die PAN Admin UI-Anwendung

Anwendungen > App-Katalog durchsuchen > Nach Palo Alto Networks – Admin-UI suchen.

Configure PAN Admin UI Application

Geben Sie die genaue URL ein, die für den Zugriff auf das Gerät verwendet wird. Dabei spielt es keine Rolle, ob es sich um einen FQDN oder eine IP-Adresse handelt.

2. Metadaten exportieren

Anwendungen > Palo Alto Networks – Admin-UI für FW > Registerkarte „Anmelden“, exportieren Sie die Metadatendatei.
Verwenden Sie beispielsweise den Kopierlink, fügen Sie ihn in einen beliebigen Webbrowser ein und laden Sie die Datei herunter.

Export metadata

3. Fügen Sie die benutzerdefinierten Profil zum Anwendung hinzu

Verzeichnis > Profil-Editor > Bearbeiten Sie das der PAN Admin UI-Anwendung zugewiesene Profil .
Erstellen Sie im Profil benutzerdefinierte Attribute mit den folgenden Variablennamen:

  • Administratorrolle
  • Zugriffsdomäne

Profile Editor

4. Benutzer der Anwendung zuweisen

Anwendungen > Die gerade erstellte > Zuweisungen > Klicken Sie auf die Schaltfläche „Zuweisen“ und suchen Sie nach Benutzern.

Beim Zuweisen eines Benutzer zur Anwendung werden die Administratorrolle und die Zugriffsdomäne abgefragt:

Assign role and admin domain to people

Für dieses Beispiel lauten die Zuweisungen:
Benutzername / Administratorrolle / Zugriffsdomäne
Benutzer11 / vsys-Admin-Rolle / Anzeige für vsys1
Benutzer12 / vsys-Admin-Rolle / Anzeige für vsys2-3
Benutzer15 / vsys-Admin-Rolle / Anzeige für alle Vsys

NGFW-KONFIGURATION

1. Zugriffsdomänen konfigurieren

Gerät > Zugriffsdomänen > Klicken Sie auf „Hinzufügen“

Add Access DomainAccess Domains view

Weisen Sie vsys jeder Zugriffsdomäne nach Ihren Wünschen zu.

2. Administratorrolle konfigurieren

Gerät > Administratorrollen > Klicken Sie auf „Hinzufügen“

Der Typ der Administratorrolle muss „Virtuelles System“ sein.

3. Erstellen Sie ein neues SAML- Profil, indem Sie die Metadatendatei vom IdP importieren

Gerät > Serverprofile > SAML-Identitätsanbieter > Klicken Sie auf „Importieren“ und navigieren Sie zu der zuvor heruntergeladenen Metadatendatei.

SAML Identity Provider Server Profile Import

Hinweis: In diesem Beispiel ist „Zertifikat des Identitätsanbieters validieren“ nicht aktiviert. Das bedeutet nicht, dass es deaktiviert werden sollte.

4. Erstellen Sie ein neues Authentifizierungsprofil und wählen Sie das SAML Profil

Gerät > Authentifizierungsprofil > Klicken Sie auf „Hinzufügen“ und wählen Sie den Typ „SAML“. Legen Sie dieses Profil auf „Freigegebener Standort“ ab. Es ist sehr wichtig, die Administratorrolle und das Zugriffsdomänenattribut mit derselben Schreibweise einzugeben, die bei Okta angegeben wurde.

Authentication Profile

5. Weisen Sie dem Verwaltungsdienst das Authentifizierungsprofil zu

Gerät > Setup > Registerkarte „Verwaltung“ > Klicken Sie hier, um die Authentifizierungseinstellungen zu bearbeiten, das neue Profil hinzuzufügen und anschließend zu ausführen.

Authentication Settings

Wenn Konfiguration angewendet werden und auf die Anmeldung bei der NGFW- verwaltungs- Benutzeroberfläche zugegriffen wird, wird direkt unter der Schaltfläche „Anmelden“ eine neue Option zur Verwendung der einmaligen Anmeldung angezeigt.

Login SSO button

ERGEBNIS

Wenn sich Benutzer anmelden, können sie nur die zugewiesenen vsys -Konfigurationen anzeigen. Weitere Hinweise zur Anpassung von Administratorrollen finden Sie hier.

user11 viewing vsys1

user12 selecting vsys

Additional Information


Zur Überprüfung kann die Authentifizierung in den Systemprotokollen der Benutzeroberfläche überprüft werden: Monitor > Protokolle > System

System log verification

Es ist auch hilfreich, über die CLI zu prüfen, ob ein Problem vorliegt:

> less mp-log authd.log
2024-10-23 01:26:02.579 -0700 debug: pan_auth_send_saml_resp(pan_auth_server.c:1164): Succeed to cache role/adomain vsys-admin-role/ad-for-all-vsys for user user15@example.local
2024-10-23 01:26:02.579 -0700 SAML SSO authenticated for user 'user15@example.local'.   auth profile 'saml-auth-profile', vsys 'shared', server profile 'okta-admins-saml-profile', IdP entityID 'http://www.okta.com/XXXXXXXXXXXXXXXXXXXX', admin role 'vsys-admin-role', access domain 'ad-for-all-vsys'

Weitere Referenzen:

Panorama-Autorisierung/Einschränkung für Administrator mittels SAML 2.0 und Access Domain (AD)-Durchsetzung

Konfigurieren eines Administratorrollenprofils

So konfigurieren Sie SAML 2.0 für Palo Alto Networks - Admin-Benutzeroberfläche
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PQlzCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language