¿Cómo diseñar y administrar un gran número de aplicaciones personalizadas SAML en GlobalProtect?
6660
Created On 06/13/23 21:38 PM - Last Modified 07/27/23 02:22 AM
Objective
- El proveedor de IdP de OKTA tiene un límite para el límite máximo de URL de SSO solicitables para la aplicación SAML, es decir, solo admite hasta 100 aplicaciones personalizadas.
- Algunos entornos de clientes pueden tener más de 100 URL de SSO como una combinación de portales, puertas de enlace e inicio de sesión de administración de firewall/panorama; esta limitación en OKTA no ayuda al cliente a tener un buen diseño para su entorno.
Environment
- PAN-OS Firewall 10.1 y superior
- Autenticación SAML del Servicio de autenticación en la nube (CAS)
- Proveedor de IdP OKTA
- Portales y gateways locales de GlobalProtect
- Panorama gestionado Prisma Access
Procedure
- Para diseñar este tipo de entorno, debemos considerar el uso de Cloud Identity Engine (CIE)
- Con CIE en el diseño, el administrador de red podría crear una aplicación de galería en el lado OKTA e integrarla con CIE
- El CIE actuará como puente entre los usuarios que acceden a los portales, pasarelas o inicio de sesión de gestión de Firewall/Panorama desde un lado y OKTA IdP desde el otro lado
- Por lo tanto, el lado de OKTA no se quedará sin aplicaciones y esto simplificará el camino para la autenticación del usuario.
- El procedimiento detallado de la configuración de la aplicación de galería se enumera en este enlace
Additional Information
El proveedor de IdP de Okta tiene una solución alternativa para este problema que se muestra en este vínculo, por lo que es mejor discutir esta limitación con el proveedor de IdP