Cómo configuración la autenticación SAML de OneLogin para GlobalProtect

• Proporcionar una configuración GP básica para la integración de SAML con OneLogin como IDP.
• Configure GP Portal y Gateway utilizando uno de los modos de inicio de sesión (a pedido, previo al inicio de sesión o inicio de sesión de usuario).
• Luego siga los pasos a continuación para la configuración de SAML en el cortafuegos y el panel de OneLogin.

• Cortafuegos de Palo Alto
• Sistema operativo Pan-OS compatible
• Un inicio de sesión
• Protección global de SAML

1. Inicie sesión en el Panel de OneLogin.
2. Vaya a Aplicaciones y haga clic en Agregar aplicaciones. Busque SAML y seleccione Conector de prueba SAML (IdP).

3. Cuando se le solicite, cambie el nombre para mostrar de la aplicación y haga clic en Guardar.

4. Vaya a la pestaña SSO y copie los valores de metadatos de IdP para URL del emisor, punto final SAML 2.0 (HTTP) y punto final SLO (HTTP), o metadatos SAML en Más acciones para descargar los metadatos de IdP SAML.

• Vaya a la pestaña SSO y copie los valores de metadatos de IdP para URL del emisor, Punto final SAML 2.0 (HTTP) y Punto final SLO (HTTP) o haga clic en Metadatos SAML en Más acciones para descargar los metadatos de IdP SAML.

6. Importe el XML de metadatos del proveedor de identidad SAML descargado en el paso 4. Desmarque "Validar certificado de proveedor de identidad" y "Validar firma de metadatos" si se seleccionó después de la importación. Haga clic en " OK ".

7. A continuación, vaya a Dispositivo > Perfil de autenticación > Agregar para agregar un nuevo perfil. Especifique lo siguiente

• Pestaña Autenticación > Tipo: SAML
• Atributo de nombre de usuario > nombre de usuario
• Pestaña Autenticación > Perfil de servidor IDP (perfil creado en el paso 6)
• Pestaña Avanzada > Lista de Permitir > Seleccionar Agregar > Todo
• Seleccione OK una vez hecho .

8. Confirme los cambios en el Firewall
9. Haga clic en el hipervínculo Metadatos en la columna Autenticación.

Seleccione el hipervínculo Metadatos y configure las siguientes configuraciones

• desplegable de servicios > Seleccionar "protección global"
• IP o nombre de host > Seleccione el nombre de host o la IP de los portales/pasarela donde se planea utilizar esto
• Seleccione OK y el archivo de metadatos SP comenzará a descargarse automáticamente en su estación de trabajo.

10. Abra el archivo XML descargado y copie el EntiryID y la URL de ACL .

11. Vuelva al panel de Onelogin > Aplicaciones > Conector de prueba SAML (idP) > Configuración. Complete la configuración como se muestra a continuación.

• Audiencia (EntityID) > El ID de entidad que copió en el Paso 10.
• URL de ACS (consumidor) > La URL de ACS que copió en el paso 10.
• Validador de URL de ACS (consumidor) > Proporcione una expresión regular válida. Por ejemplo:
• [-a-zA-Z0-9@:%._\+~#=]{2,256}\.[az]{2,6}\ B([-a-zA-Z0-9@:%_\+.~#?&//=]*)
• Haga clic en Guardar .

12. El perfil de autenticación SAML de OneLogin ahora está listo para usarse.

• Vaya a la interfaz web del cortafuegos y especifique el perfil OneLogin_GP_Auth en la configuración de su Portal/Gateway.
• Para el portal: Vaya a la pestaña Red > Portal > Seleccionar portal > Autenticación > Autenticación de cliente > Perfil de autenticación

• Para la puerta de enlace: vaya a la pestaña Red > Portal > Seleccionar portal > Autenticación > Autenticación de cliente > Perfil de autenticación

• Confirme los cambios.

Consulte los siguientes artículos para configurar Globalprotect Portal y Gateway.

Configuración básica de GlobalProtect con On-Demand

Configuración básica de GlobalProtect con inicio de sesión previo

Configuración básica de GlobalProtect con inicio de sesión de usuario