如何在 GlobalProtect 上设计和管理大量 SAML 自定义应用程序?
6628
Created On 06/13/23 21:38 PM - Last Modified 07/27/23 02:22 AM
Objective
- OKTA IdP 提供商对 SAML 应用程序的可请求 SSO URL 的最大限制有限制,即最多仅支持 100 个自定义应用程序。
- 某些客户环境可能有超过 100 个 SSO URL 作为门户、网关和防火墙/全景管理登录的组合; OKTA 的这一限制无助于客户针对其环境进行良好的设计。
Environment
- PAN-OS 防火墙 10.1 及更高版本
- 云认证服务 (CAS) SAML 身份验证
- OKTA IdP 提供商
- 本地 GlobalProtect 门户和网关
- 全景管理 Prisma 访问
Procedure
- 为了设计这种环境,我们需要考虑使用Cloud Identity Engine(CIE)
- 通过设计 CIE,网络管理员可以在 OKTA 端创建图库应用程序并将其与 CIE 集成
- CIE 将充当从一侧访问门户、网关或防火墙/全景管理登录的用户与从另一侧访问 OKTA IdP 的用户之间的桥梁
- 因此,OKTA 端不会耗尽应用程序,这将简化用户身份验证的方式
- Gallery 应用程序配置的详细过程在此列出关联
Additional Information
Okta IdP 提供商针对此问题提供了解决方法,如下所示关联,因此最好与 IdP 提供商讨论此限制