Wie entwirft und verwaltet man eine große Anzahl von benutzerdefinierten SAML-Anwendungen auf GlobalProtect?
6660
Created On 06/13/23 21:38 PM - Last Modified 07/27/23 02:22 AM
Objective
- Der OKTA-IdP-Anbieter hat ein Limit für die maximale Grenze für anforderbare SSO-URLs für SAML-Anwendungen, d. h., er unterstützt nur bis zu 100 benutzerdefinierte Anwendungen.
- Einige Kundenumgebungen verfügen möglicherweise über mehr als 100 SSO-URLs als Kombination aus Portalen, Gateways und Firewall-/Panorama-Management-Login. Diese Einschränkung bei OKTA hilft dem Kunden nicht, ein gutes Design für seine Umgebung zu haben.
Environment
- PAN-OS Firewall 10.1 und höher
- SAML-Authentifizierung für den Cloud Authentication Service (CAS)
- OKTA IdP-Anbieter
- Lokale GlobalProtect-Portale und -Gateways
- Panorama managed Prisma Access
Procedure
- Um diese Art von Umgebung zu entwerfen, müssen wir die Verwendung der Cloud Identity Engine (CIE) in Betracht ziehen
- Mit CIE im Design könnte der Netzwerkadministrator eine Galerieanwendung auf der OKTA-Seite erstellen und in CIE integrieren
- Die CIE fungiert als Brücke zwischen den Benutzern, die von der einen Seite auf die Portale, Gateways oder die Anmeldung für das Firewall-/Panorama-Management zugreifen, und dem OKTA IdP von der anderen Seite
- Der OKTA-Seite gehen also nicht die Anwendungen aus, was den Weg für die Benutzerauthentifizierung vereinfacht
- Die detaillierte Vorgehensweise bei der Konfiguration der Galerieanwendung finden Sie unter diesem Link
Additional Information
Der Okta-IdP-Anbieter verfügt über eine Problemumgehung für dieses Problem, die unter diesem Link angezeigt wird, daher ist es besser, diese Einschränkung mit dem IdP-Anbieter zu besprechen