如何为 GlobalProtect设置OneLogin SAML 身份验证
11634
Created On 03/24/23 13:00 PM - Last Modified 01/07/25 11:30 AM
Objective
- 提供用于 SAML 集成的基本 GP配置,以将 OneLogin 作为 IDP。
- 使用其中一种登录模式(按需、预登录或用户登录)配置 GP 门户和网关。
- 然后按照以下步骤在防火墙和 OneLogin 仪表板上进行 SAML配置。
Environment
- Palo Alto 防火墙
- 支持 Pan-OS
- 一站式登录
- SAML 全局保护
Procedure
- 登录到 OneLogin指示板。
- 导航到应用程序并单击添加应用程序。搜索 SAML,然后选择 SAML 测试连接器 (IdP)。
- 出现提示时,更改应用程序的显示名称,单击“保存”
- 转到SSO选项卡并复制颁发者URL、SAML 2.0 端点 (HTTP) 和 SLO 端点 (HTTP) 的 IdP 元数据值,或复制更多操作下的 SAML 元数据以下载 SAML IdP 元数据
- 转到SSO选项卡,复制颁发者URL、SAML 2.0 端点 (HTTP) 和 SLO 端点 (HTTP) 的 IdP 元数据值,或单击更多操作下的 SAML 元数据以下载 SAML IdP 元数据。
6. 导入步骤 4 中下载的 SAML IdP 元数据 XML。导入后,如果选中“验证身份提供商证书”和“验证元数据签名”,请取消选中。单击“OK”
7. 接下来,转到设备 > 身份验证配置文件 > 添加以添加新配置文件。指定以下信息
- 身份验证选项卡 > 类型:SAML
- 用户名属性 >用户名
- 身份验证选项卡 > Idp服务器配置文件(在步骤 6 中创建的配置文件)
- 高级选项卡 >允许列表 > 选择添加 > 全部
- 完成后选择“OK” 。
8.提交防火墙上的更改
9. 点击身份验证列下的元数据超链接
选择元数据超链接并设置以下设置
- 服务下拉> 选择“global-protect”
- IP 或主机名 > 选择计划使用的门户/网关的主机名或 IP
- 选择“OK” ,SP 元数据文件将自动开始下载到您的工作站。
10.打开下载的XML文件,复制EntiryID和ACL URL。
11. 返回 Onelogin 仪表板 > 应用程序 > SAML 测试连接器 (idP) > 配置。完成如下所示的设置
- 受众(EntityID)> 您在步骤 10 中复制的实体 ID。
- ACS(消费者) URL > 您在步骤 10 中复制的 ACS URL 。
- ACS(消费者) URL验证器 > 提供有效的正则表达式。例如:
- [-a-zA-Z0-9@:%._\+~#=]{2,256}\.[az]{2,6}\ B([-a-zA-Z0-9@:%_\+.~#?&//=]*)
- 单击“保存” 。
12.OneLogin SAML身份验证配置文件现在可以使用了。
- 转到防火墙Web 界面并在门户/网关配置中指定 OneLogin_GP_Auth配置文件。
- 对于门户:转到“网络”选项卡 > 门户 > 选择门户 > 身份验证 > 客户端身份验证 > 身份验证配置文件
- 对于网关:转至“网络”选项卡 > 门户 > 选择门户 > 身份验证 > 客户端身份验证 > 身份验证配置文件
- 提交更改。
在客户端机器上测试:
1. 启动 GlobalProtect应用程序并单击连接。
2. Globalprotect App 将重定向到 OneLogin IdP 的登录页面。使用 OneLogin用户凭据登录。
3.用户将被重定向回服务提供商(在本例中为 GP App),并且在成功验证后状态将显示为已连接。
Additional Information
请参阅以下文章来配置 Globalprotect 门户和网关。