Comment concevoir et gérer un grand nombre d’applications personnalisées SAML sur GlobalProtect ?
6674
Created On 06/13/23 21:38 PM - Last Modified 07/27/23 02:22 AM
Objective
- Le fournisseur OKTA IdP a une limite maximale sur les URL SSO requestables pour les applications SAML, c’est-à-dire qu’il ne prend en charge que jusqu’à 100 applications personnalisées.
- Certains environnements clients peuvent avoir plus de 100 URL d’authentification unique en tant que combinaison de portails, de passerelles et de connexion de gestion Firewall/Panorama ; cette limitation sur OKTA n'aide pas le client à avoir un bon design pour son environnement.
Environment
- Pare-feu PAN-OS 10.1 et versions ultérieures
- Authentification SAML du service d’authentification cloud (CAS)
- Fournisseur OKTA IdP
- Portails et passerelles GlobalProtect sur site
- Panorama géré Prisma Access
Procedure
- Pour concevoir ce type d’environnement, nous devons envisager d’utiliser Cloud Identity Engine (CIE)
- Avec CIE dans la conception, l’administrateur réseau pourrait créer une application de galerie côté OKTA et l’intégrer à CIE
- La CIE servira de pont entre les utilisateurs qui accèdent aux portails, aux passerelles ou à la connexion de gestion Firewall/Panorama d’un côté et OKTA IdP de l’autre côté.
- Ainsi, le côté OKTA ne manquera pas d’applications, ce qui simplifiera la voie de l’authentification des utilisateurs.
- La procédure détaillée de configuration de l’application Gallery est répertoriée sur ce lien
Additional Information
Le fournisseur Okta IdP dispose d’une solution de contournement pour ce problème illustrée sur ce lien, il est donc préférable de discuter de cette limitation avec le fournisseur IdP.