SAML2.0을 통해 다른 vsys 에 관리자를 인증하는 방법

SAML2.0을 통해 다른 vsys 에 관리자를 인증하는 방법

2913
Created On 10/28/24 08:53 AM - Last Modified 04/04/25 20:12 PM


Objective


이 문서에서는 인증이 SAML2.0에 기반할 때 각 관리자 특정 vsys 에 액세스할 수 있도록 하는 구성 다룹니다. 이는 admin 역할 과 액세스 도메인 기능을 기반으로 합니다.

이 기능 Panorama보다 Multi-VSYS NGFW에서 약간 다르게 작동합니다(추가 참고 사항 참조).

Environment


  • 다중 VSYS NGFW
  • SAML2.0

Procedure


OKTA 구성

1. PAN 관리자 UI 애플리케이션 구성

애플리케이션 > 앱 카탈로그 탐색 > Palo Alto Networks 검색 - 관리자 UI.

Configure PAN Admin UI Application

디바이스 에 액세스하는 데 사용된 정확한 URL 입력하세요. FQDN 이든 IP 주소 이든 상관없습니다.

2. 메타데이터 내보내기

응용 프로그램 > Palo Alto Networks - FW 관리 UI > 로그인 탭에서 메타데이터 파일을 내보냅니다.
예를 들어, 링크 복사를 이용해 웹 브라우저에 붙여넣고 파일을 다운로드하세요.

Export metadata

3. 애플리케이션 프로파일 에 사용자 정의 속성 추가

디렉토리 > 프로필 편집기 > PAN 관리자 UI 애플리케이션에 할당된 프로파일 편집합니다.
프로파일 에서 다음 변수 이름으로 사용자 정의 속성을 만듭니다.

  • 관리자 역할
  • 접근 도메인

Profile Editor

4. 애플리케이션에 사용자 할당

응용 프로그램 > 방금 만든 응용 프로그램 > 할당 > 할당 버튼을 클릭하고 사용자를 검색합니다.

애플리케이션에 사용자 할당할 때 관리자 역할과 액세스 도메인이 표시됩니다.

Assign role and admin domain to people

이 예에서 할당은 다음과 같습니다.
사용자 이름 / 관리자 역할 / 액세스 도메인
user11 / vsys-admin-role / ad-for-vsys1
user12 / vsys-admin-role / ad-for-vsys2-3
user15 / vsys-admin-role / ad-for-all-vsys

NGFW 구성

1. 액세스 도메인 구성

장치 > 도메인 액세스 > 추가 클릭

Add Access DomainAccess Domains view

원하는 대로 각 액세스 도메인 에 vsys 할당하세요.

2. 관리자 역할 구성

장치 > 관리자 역할 > 추가 클릭

관리자 역할 유형은 가상 시스템이어야 합니다.

3. IdP에서 메타데이터 파일을 가져와 새 SAML 프로파일 만듭니다.

장치 > 서버 프로필 > SAML ID 공급자 > 가져오기를 클릭하고 이전에 다운로드한 메타데이터 파일을 찾습니다.

SAML Identity Provider Server Profile Import

참고: 이 예에서는 Validate Identity Provider Certificate가 체크되지 않았습니다. 비활성화해야 한다는 의미는 아닙니다.

4. SAML 프로파일 선택하여 새 인증 프로필을 만듭니다.

장치 > 인증 프로필 > 추가를 클릭하고 SAML 유형을 선택합니다. 이 프로파일 공유 위치에 넣습니다. 관리자 역할과 액세스 도메인 속성을 Okta에서 명명된 것과 동일한 철자로 입력하는 것이 매우 중요합니다.

Authentication Profile

5. 관리 서비스에 인증 프로파일 할당

장치 > 설정 > 관리 탭 > 인증 설정을 편집하고 새 프로파일 추가한 후 commit.

Authentication Settings

구성 변경 사항이 적용되고 NGFW admin UI에 로그인 수 있게 되면 로그인 버튼 바로 아래에 Single Sign-On을 사용하는 새 옵션이 나타납니다.

Login SSO button

결과

사용자 로그인하면 할당된 vsys 구성만 볼 수 있습니다. 관리자 역할 사용자 지정에 대한 추가 참고 사항을 참조하세요.

user11 viewing vsys1

user12 selecting vsys

Additional Information


검증 목적으로 UI의 시스템 로그에서 인증을 확인할 수 있습니다: 모니터 > 로그 > 시스템

System log verification

CLI 에서 확인하면 문제가 있는지 확인하는 데도 유용합니다.

> less mp-log authd.log
2024-10-23 01:26:02.579 -0700 debug: pan_auth_send_saml_resp(pan_auth_server.c:1164): Succeed to cache role/adomain vsys-admin-role/ad-for-all-vsys for user user15@example.local
2024-10-23 01:26:02.579 -0700 SAML SSO authenticated for user 'user15@example.local'.   auth profile 'saml-auth-profile', vsys 'shared', server profile 'okta-admins-saml-profile', IdP entityID 'http://www.okta.com/XXXXXXXXXXXXXXXXXXXX', admin role 'vsys-admin-role', access domain 'ad-for-all-vsys'

추가 참고문헌:

SAML 2.0 및 액세스 도메인( AD ) 적용을 사용하여 관리자 액세스에 대한 파노라마 권한 부여/제한

관리자 역할 프로필 구성

Palo Alto Networks 위한 SAML 2.0 구성 방법 - 관리자 UI
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PQlzCAG&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language