Cómo autenticar administradores en diferentes vsys a través de SAML2.0

Cómo autenticar administradores en diferentes vsys a través de SAML2.0

2913
Created On 10/28/24 08:53 AM - Last Modified 04/04/25 20:12 PM


Objective


En este artículo se explicará la configuración para permitir que cada administrador acceda a determinados vsys cuando la autenticación se basa en SAML2.0. Esto se basa en el función de administrador y las características del dominio de acceso .

La función funciona de forma ligeramente diferente en un NGFW varios sistemas virtuales que en Panorama (ver notas adicionales).

Environment


  • NGFW multi-vsys
  • SAML 2.0

Procedure


CONFIGURACIÓN DE OKTA

1. Configurar la aplicación de interfaz de usuario de administración de PAN

Aplicaciones > Explorar catálogo de aplicaciones > Buscar Palo Alto Networks - Interfaz de usuario de administración.

Configure PAN Admin UI Application

Introduzca la URL exacta utilizada para acceder al dispositivo. No importa si se trata de un FQDN o de una Dirección IP.

2. Exportar metadatos

Aplicaciones > Palo Alto Networks - Interfaz de administración para FW > Pestaña Iniciar sesión, exporte el archivo de metadatos.
Por ejemplo, utilice el enlace de copiar, pegar en cualquier navegador web y descargar el archivo.

Export metadata

3. Agregue los atributos personalizados al perfil de la aplicación

Directorio > Editor de perfiles > Editar el perfil asignado a la aplicación PAN Admin UI.
En el perfil, cree atributos personalizados con los siguientes nombres de variables:

  • rol de administrador
  • dominio de acceso

Profile Editor

4. Asignar usuarios a la aplicación

Aplicaciones > La que acaba de crear > Asignaciones > Haga clic en el botón Asignar y busque usuarios.

Al asignar cualquier usuario a la aplicación, se solicita el rol de administrador y el dominio de acceso:

Assign role and admin domain to people

Para este ejemplo, las tareas serán:
Nombre de usuario / Rol de administrador / Dominio de acceso
usuario11 / rol de administrador vsys / anuncio para vsys1
usuario12 / rol de administrador vsys / anuncio para vsys2-3
usuario15 / rol de administrador vsys / anuncio para todos los vsys

CONFIGURACIÓN DE NGFW

1. Configurar dominios de acceso

Dispositivo > Dominios de acceso > Haga clic en Agregar

Add Access DomainAccess Domains view

Asigne vsys a cada dominio de acceso según su preferencia.

2. Configurar el rol de administrador

Dispositivo > Roles de administrador > Haga clic en Agregar

El tipo de rol de administrador debe ser Sistema virtual.

3. Cree un nuevo perfil SAML importando el archivo de metadatos desde el IdP

Dispositivo > Perfiles de servidor > Proveedor de identidad SAML > Haga clic en Importar y busque el archivo de metadatos descargado previamente.

SAML Identity Provider Server Profile Import

Nota: La opción Validar certificado de proveedor de identidad no está marcada en este ejemplo. Esto no significa que deba estar deshabilitada.

4. Cree un nuevo perfil de autenticación seleccionando el perfil SAML

Dispositivo > Perfil de autenticación > Haga clic en Agregar y seleccione el tipo SAML. Coloque este perfil en la ubicación compartida. Es muy importante ingresar el rol de administrador y el atributo de dominio de acceso con la misma ortografía que se usó en Okta.

Authentication Profile

5. Asignar el perfil de autenticación al servicio de administración

Dispositivo > Configuración > Pestaña Administración > Haga clic para editar la Configuración de autenticación y agregar el nuevo perfil y luego compilar.

Authentication Settings

Cuando se aplican los cambios de configuración y se accede para inicio de sesión en la interfaz de administrador de NGFW, aparece una nueva opción para usar el inicio de sesión único, justo debajo del botón Iniciar sesión.

Login SSO button

RESULTADO

Cuando el usuario inicia sesión, solo puede ver las configuraciones de vsys asignadas. Consulte las notas adicionales para la personalización de los roles de administrador.

user11 viewing vsys1

user12 selecting vsys

Additional Information


Para fines de verificación, la autenticación se puede verificar en los registros del sistema desde la interfaz de usuario: Monitor > Registros > Sistema

System log verification

Comprobar desde CLI también es útil si hay algún problema:

> less mp-log authd.log
2024-10-23 01:26:02.579 -0700 debug: pan_auth_send_saml_resp(pan_auth_server.c:1164): Succeed to cache role/adomain vsys-admin-role/ad-for-all-vsys for user user15@example.local
2024-10-23 01:26:02.579 -0700 SAML SSO authenticated for user 'user15@example.local'.   auth profile 'saml-auth-profile', vsys 'shared', server profile 'okta-admins-saml-profile', IdP entityID 'http://www.okta.com/XXXXXXXXXXXXXXXXXXXX', admin role 'vsys-admin-role', access domain 'ad-for-all-vsys'

Referencias adicionales:

Autorización/restricción de Panorama para el acceso de administrador mediante SAML 2.0 y la aplicación del dominio de acceso (AD)

Configurar un perfil de rol de administrador

Cómo configurar SAML 2.0 para Palo Alto Networks : interfaz de usuario de administración
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PQlzCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language