Comment authentifier les administrateurs sur différents vsys via SAML2.0

Comment authentifier les administrateurs sur différents vsys via SAML2.0

2911
Created On 10/28/24 08:53 AM - Last Modified 04/04/25 20:12 PM


Objective


Cet article décrit la configuration permettant à chaque administrateur d'accéder à certains vsys lorsque l'authentification est basée sur SAML2.0. Cela est basé sur le rôle admin et les fonctionnalités du domaine d'accès .

La fonctionnalité fonctionne légèrement différemment sur un NGFW multi-vsys que sur Panorama (voir les notes supplémentaires).

Environment


  • Pare-feu de nouvelle génération multi-vsys
  • SAML 2.0

Procedure


CONFIGURATION OKTA

1. Configurer l'interface utilisateur de l'application d'administration PAN

Applications > Parcourir le catalogue d'applications > Rechercher Palo Alto Networks - Admin UI.

Configure PAN Admin UI Application

Saisissez URL exacte utilisée pour accéder à l' appareil. Peu importe qu'il s'agisse d'un FQDN ou d'une adresse IP.

2. Exporter les métadonnées

Applications > Palo Alto Networks - Interface d'administration pour FW > Onglet Connexion, exportez le fichier de métadonnées.
Par exemple, utilisez le lien copier, collez-le sur n'importe quel navigateur Web et téléchargez le fichier.

Export metadata

3. Ajoutez les attributs personnalisés au profil application

Répertoire > Éditeur de profil > Modifier le profil attribué à l'application d'interface utilisateur d'administration PAN.
Dans le profil, créez des attributs personnalisés avec les noms de variables suivants :

  • rôle d'administrateur
  • domaine d'accès

Profile Editor

4. Affecter des utilisateurs à l'application

Applications > Celle qui vient d’être créée > Affectations > Cliquez sur le bouton Affecter et recherchez des utilisateurs.

Lors de l'attribution d'un utilisateur à l'application, le rôle d'administrateur et le domaine d'accès sont demandés :

Assign role and admin domain to people

Pour cet exemple, les tâches seront :
Nom d'utilisateur / Rôle d'administrateur / Domaine d'accès
utilisateur11 / rôle d'administrateur vsys / ad-for-vsys1
utilisateur12 / rôle d'administrateur vsys / ad-for-vsys2-3
utilisateur15 / rôle d'administrateur vsys / ad-for-all-vsys

CONFIGURATION NGFW

1. Configurer les domaines d'accès

Appareil > Domaines d'accès > Cliquez sur Ajouter

Add Access DomainAccess Domains view

Attribuez un vsys à chaque domaine d'accès selon vos préférences.

2. Configurer le rôle d'administrateur

Appareil > Rôles d'administrateur > Cliquez sur Ajouter

Le type de rôle d’administrateur doit être Système virtuel.

3. Créez un nouveau profil SAML en important un fichier de métadonnées à partir de l'IdP

Appareil > Profils de serveur > Fournisseur d’identité SAML > Cliquez sur Importer et accédez au fichier de métadonnées précédemment téléchargé.

SAML Identity Provider Server Profile Import

Remarque : l'option Valider le certificat du fournisseur d'identité n'est pas cochée dans cet exemple. Cela ne signifie pas qu'elle doit être désactivée.

4. Créez un nouveau profil d'authentification en sélectionnant le profil SAML

Appareil > Profil d'authentification > Cliquez sur Ajouter et sélectionnez le type SAML. Placez ce profil dans un emplacement partagé. Il est très important de saisir le rôle d'administrateur et l'attribut de domaine d'accès avec la même orthographe que celle utilisée sur Okta.

Authentication Profile

5. Affecter le profil d'authentification au service de gestion

Appareil > Configuration > onglet Gestion > Cliquez pour modifier les paramètres d'authentification et ajouter le nouveau profil , puis valider.

Authentication Settings

Lorsque les modifications de configuration sont appliquées et que vous accédez à la connexion à l'interface admin NGFW, une nouvelle option apparaît pour utiliser l'authentification unique, juste en dessous du bouton Connexion.

Login SSO button

RÉSULTAT

Lors de la connexion de utilisateur , il peut simplement afficher les configurations vsys attribuées. Voir les notes supplémentaires pour la personnalisation des rôles d'administrateur.

user11 viewing vsys1

user12 selecting vsys

Additional Information


À des fins de vérification, l'authentification peut être vérifiée sur les journaux système à partir de l'interface utilisateur : Surveiller > Journaux > Système

System log verification

La vérification à partir de la CLI est également utile si un problème est présent :

> less mp-log authd.log
2024-10-23 01:26:02.579 -0700 debug: pan_auth_send_saml_resp(pan_auth_server.c:1164): Succeed to cache role/adomain vsys-admin-role/ad-for-all-vsys for user user15@example.local
2024-10-23 01:26:02.579 -0700 SAML SSO authenticated for user 'user15@example.local'.   auth profile 'saml-auth-profile', vsys 'shared', server profile 'okta-admins-saml-profile', IdP entityID 'http://www.okta.com/XXXXXXXXXXXXXXXXXXXX', admin role 'vsys-admin-role', access domain 'ad-for-all-vsys'

Références supplémentaires :

Autorisation/restriction de panorama pour l'accès administrateur à l'aide de SAML 2.0 et application du domaine d'accès (AD)

Configurer un profil de rôle d'administrateur

Comment configurer SAML 2.0 pour Palo Alto Networks - Interface d'administration
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PQlzCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language