So Einrichtung die OneLogin SAML-Authentifizierung für GlobalProtect ein

• Bereitstellung einer grundlegenden GP- Konfiguration für die SAML-Integration mit OneLogin als IDP.
• Konfigurieren Sie GP Portal und Gateway mit einem der Anmeldemodi (On-Demand, Voranmeldung oder Benutzeranmeldung).
• Befolgen Sie dann die folgenden Schritte zur SAML Konfiguration auf der Firewall und dem OneLogin-Dashboard.

• Palo Alto-Firewalls
• Unterstützte Betriebssysteme
• OneLogin
• SAML Global Protect

1. Melden Sie sich beim OneLogin Dashboard an.
2. Navigieren Sie zu den Anwendungen und klicken Sie auf „Anwendungen hinzufügen“. Suchen Sie nach SAML und wählen Sie „SAML Test Connector (IdP)“ aus.

3. Wenn Sie dazu aufgefordert werden, ändern Sie den Anzeigenamen der App und klicken Sie auf Speichern

4. Gehen Sie zur Registerkarte SSO und kopieren Sie die IdP-Metadatenwerte für Issuer URL, SAML 2.0 Endpoint (HTTP) und SLO Endpoint (HTTP) oder SAML Metadata unter More Actions, um die SAML IdP Metadata herunterzuladen.

• Gehen Sie zur Registerkarte „SSO“ und kopieren Sie die IdP-Metadatenwerte für „Aussteller URL“, „SAML 2.0-Endpunkt (HTTP)“ und „SLO-Endpunkt (HTTP)“ oder klicken Sie unter „Weitere Aktionen“ auf „SAML-Metadaten“, um die SAML-IdP-Metadaten herunterzuladen.

6. Importieren Sie die in Schritt 4 heruntergeladene SAML IdP-Metadaten-XML. Deaktivieren Sie „Identitätsanbieterzertifikat validieren“ und „Metadatensignatur validieren“, falls diese nach dem Import ausgewählt wurden. Klicken Sie auf „ OK “.

7. Gehen Sie als nächstes zu Gerät > Authentifizierungsprofil > Hinzufügen, um ein neues Profil hinzuzufügen. Geben Sie Folgendes an

• Registerkarte „Authentifizierung“ > Typ: SAML
• Benutzernamenattribut > Benutzername
• Registerkarte „Authentifizierung“ > IDP Server-Profil (Profil erstellt in Schritt 6)
• Registerkarte „Erweitert“ > zulassen > „Hinzufügen“ > „Alle“ auswählen
• Wählen Sie „OK“ , wenn Sie fertig sind .

8. Übernehmen Sie die Änderungen an der Firewall
9. Klicken Sie auf den Metadaten -Hyperlink unter der Spalte „Authentifizierung“

Wählen Sie den Metadaten-Hyperlink aus und legen Sie die folgenden Einstellungen fest

• Dropdown „Service“ > „global-protect“ auswählen
• IP oder Hostname > Wählen Sie den Hostname oder die IP des Portals/Gateways aus, auf dem/denen dies verwendet werden soll
• Wählen Sie „OK“ und die SP-Metadatendatei wird automatisch auf Ihre Arbeitsstation heruntergeladen.

10. Öffnen Sie die heruntergeladene XML-Datei und kopieren Sie die EntiryID und die ACL- URL.

11. Navigieren Sie zurück zum Onelogin-Dashboard > Anwendungen > SAML-Test-Connector (idP) > Konfiguration. Vervollständigen Sie die Einstellungen wie unten gezeigt

• Zielgruppe (EntityID) > Die Entity-ID, die Sie in Schritt 10 kopiert haben.
• ACS (Consumer) URL > Die ACS URL, die Sie in Schritt 10 kopiert haben.
• ACS (Consumer) URL Validator > Geben Sie einen gültigen regulären Ausdruck ein. Beispiel:
• [-a-zA-Z0-9@:%._\+~#=]{2,256}\.[az]{2,6}\ B([-a-zA-Z0-9@:%_\+.~#?&//=]*)
• Klicken Sie auf Speichern .

12. Das OneLogin SAML- Authentifizierungsprofil ist jetzt einsatzbereit.

• Gehen Sie zur Firewall Weboberfläche und geben Sie das Profil OneLogin_GP_Auth in Ihrer Portal-/Gateway Konfiguration an.
• Für das Portal: Gehen Sie zur Registerkarte Netzwerk > Portal > Portal auswählen > Authentifizierung > Client-Authentifizierung > Authentifizierungsprofil

• Für das Gateway: Gehen Sie zur Registerkarte Netzwerk > Portal > Portal auswählen > Authentifizierung > Client-Authentifizierung > Authentifizierungsprofil

• Übernehmen Sie die Änderungen.

Informationen zur Konfiguration des Globalprotect-Portals und -Gateways finden Sie in den folgenden Artikeln.

Grundlegende GlobalProtect-Konfiguration mit On-Demand

Grundlegende GlobalProtect-Konfiguration mit Voranmeldung

Grundlegende GlobalProtect-Konfiguration mit Benutzeranmeldung