如何通过 SAML2.0 对不同vsys 的管理员进行身份验证
Objective
本文将介绍当身份验证基于 SAML2.0 时允许每个管理员访问特定vsys的配置。这基于管理员角色和访问域功能。
该功能在多 vsys NGFW 上的工作方式与在 Panorama 上略有不同(请参阅附加说明)。
Environment
- 多系统 NGFW
- SAML2.0
Procedure
OKTA 配置
1. 配置 PAN 管理 UI 应用程序
应用程序 > 浏览应用程序目录 > 搜索Palo Alto Networks - 管理 UI。
输入用于访问设备的准确URL 。无论它是FQDN还是IP 地址。
2. 导出元数据
应用程序 > Palo Alto Networks - FW 的管理 UI >“登录”选项卡,导出元数据文件。
例如,使用复制链接,粘贴到任何网络浏览器并下载文件。
3. 将自定义属性添加到应用程序配置文件
目录 > 配置文件编辑器 > 编辑分配给 PAN 管理 UI 应用程序的配置配置文件。
在配置文件中,使用以下变量名称创建自定义属性:
- 管理角色
- 访问域
4. 将用户分配给应用程序
应用程序 > 刚刚创建的应用程序 > 分配 > 单击分配按钮并搜索用户。
将任何用户分配给应用程序时,将提示管理员角色和访问域:
对于此示例,任务将是:
用户名/管理员角色/访问域
用户 11 / vsys-admin-角色 / ad-for-vsys1
用户 12 / vsys-管理员角色 / ad-for-vsys2-3
用户 15 / vsys-admin-角色 / ad-for-all-vsys
NGFW 配置
1.配置访问域
设备 > 访问域 > 单击添加
 |  |
根据您的喜好将vsys分配给每个访问域。
2.配置管理员角色
设备 > 管理角色 > 单击添加
管理角色的类型必须是虚拟系统。
3. 创建一个新的 SAML配置文件,从 IdP 导入元数据文件
设备 > 服务器配置文件 > SAML 身份提供者 > 单击导入并浏览到之前下载的元数据文件。
注意:本例中未选中“验证身份提供者证书”。这并不意味着应该禁用它。
4. 选择 SAML 配置配置文件创建一个新的身份验证配置文件
设备 > 身份验证配置文件 > 单击添加并选择类型 SAML。将此配置配置文件放在共享位置。输入管理员角色和访问域属性时,使用与 Okta 上相同的拼写非常重要。
5. 将身份验证配置文件配置文件分配给管理服务
设备 > 设置 > 管理选项卡 > 单击以编辑身份验证设置并添加新的配置文件,然后提交。
当配置更改并访问登录NGFW管理员UI 时,在登录按钮下方会出现一个使用单点登录的新选项。
结果
当用户登录时,他们只能查看分配的vsys配置。请参阅管理员角色自定义的附加说明。
|
|
Additional Information
为了进行验证,可以从 UI 中的系统日志检查身份验证:监控 > 日志 > 系统
如果存在任何问题,从CLI检查也很有用:
> less mp-log authd.log
2024-10-23 01:26:02.579 -0700 debug: pan_auth_send_saml_resp(pan_auth_server.c:1164): Succeed to cache role/adomain vsys-admin-role/ad-for-all-vsys for user user15@example.local
2024-10-23 01:26:02.579 -0700 SAML SSO authenticated for user 'user15@example.local'. auth profile 'saml-auth-profile', vsys 'shared', server profile 'okta-admins-saml-profile', IdP entityID 'http://www.okta.com/XXXXXXXXXXXXXXXXXXXX', admin role 'vsys-admin-role', access domain 'ad-for-all-vsys'
其他参考资料: