So aktivieren Sie einen externen Identitätsanbieter (IDP)

Kundenbetreuungs Portal (CSP)

So aktivieren Sie einen externen Identitätsanbieter (IDP)

• Zusammenfassung
• Was ist ein 3rd-Party-Identitätsanbieter?
• Voraussetzungen
• Aktivieren des 3rd-Party-Identitätsanbieters
• SSO-Anmeldung verifizieren
• Faqs
  • Warum kann ich nicht auf die Seite "SSO-Einstellungen" zugreifen?
  • Kommt es zu einem Ausfall, wenn ich zu einem 3rd-Party-IDP wechsle?
  • An wen wende ich mich, wenn nach der Migration SSO-Probleme auftreten?
  • Gibt es weitere Änderungen in der Art und Weise, wie Benutzer im Supportportal hinzugefügt werden?
  • Warum lehnt der Identitätsanbieter die SAML-Antwort ab?

Zusammenfassung

In diesem Dokument erfahren Sie, wie Sie einen externen Identitätsanbieter (Identity Provider, Idp) für SSO aktivieren.

Wenn Sie die Option Drittanbieter-Idp im Customer Support Portal (CSP) aktivieren, können sich Kontomitglieder mit ihren eigenen Unternehmensanmeldeinformationen anmelden.

Da ein Drittanbieter-Idp auf Domänenebene eingerichtet wird, können Mitglieder mehreren CSP-Konten angehören und sich mit ihrem Unternehmens-SSO bei diesen anmelden. Sie können sich auch mit demselben Setup bei anderen Anwendungen von Palo Alto Networks anmelden.

Was ist ein 3rd-Party-Identitätsanbieter?

Palo Alto Networks ermöglicht es Kunden und Partnern, ihren eigenen Identitätsanbieter für den Zugriff auf Palo Alto Networks-Ressourcen zu verwenden, z. B. das Kundensupportportal. Eine Ausnahme bilden Domänenadministratorkonten (DA), die weiterhin die Anmeldeinformationen von Palo Alto Networks verwenden.

Voraussetzungen

Im Folgenden finden Sie die Voraussetzungen, um einen Drittanbieter-Idp für Ihre Domain zu aktivieren:

1. Sie müssen über die Rolle Domänenadministrator (DA) im CSP verfügen, um den Idp-Zugriff eines Drittanbieters für Ihr Konto konfigurieren zu können.
2. Sie müssen über Administratorzugriff auf den Identitätsanbieter verfügen, um die von Palo Alto Networks bereitgestellten SSO-Konfigurationsdetails zu aktualisieren.
3. Für die Verifizierung benötigen Sie ein Konto, bei dem es sich nicht um einen Domänenadministrator handelt.
4. Stellen Sie sicher, dass die folgenden URLs von Ihrem Netzwerk aus zugänglich sind.Möglicherweise müssen Sie mit Ihrem IT-/Netzwerkteam zusammenarbeiten, um diese URLs auf die Whitelist zu setzen.

                  https://accounts.paloaltonetworks.com/

                  https://accounts.api.paloaltonetworks.com/

Aktivieren des 3rd-Party-Identitätsanbieters

1. Um eine Drittanbieter-ID zu aktivieren, navigieren Sie im CSP zur Seite Kontodetails, und klicken Sie auf Single-Sign-On-Einstellungen für Ihre Domäne anzeigen.
2. Über den Link gelangen Sie zum Portal, in dem Sie die Details des Identitätsanbieters eingeben können.Wenn Sie die folgende Fehlermeldung sehen, überprüfen Sie bitte, ob die im Abschnitt Voraussetzungen oben genannten URLs von Ihrem Netzwerk aus zugänglich sind und ob diese URLs nicht von einer Firewall blockiert werden.
   Bei der Bearbeitung Ihrer Anfrage ist ein Fehler aufgetreten, wenden Sie sich bitte an: ssoadmins@paloaltonetworks.com.
3. Geben Sie die Daten Ihres Identitätsanbieters in das Formular ein und klicken Sie auf "Speichern". Beachten Sie, dass dadurch nur die Konfiguration gespeichert wird - sie ist noch nicht aktiviert. Stellen Sie sicher, dass Sie die SSO-Einrichtung testen, bevor Sie den Identitätsanbieter für alle Benutzer in der Domäne aktivieren.

4. Nachdem Sie die Konfiguration gespeichert haben, werden die Informationen zum Palo Alto Networks-Dienstanbieter unten auf der Seite angezeigt.
5. Aktualisieren Sie Ihren Identitätsanbieter mit den auf der Seite angezeigten Palo Alto Networks-Informationen. Nachfolgend finden Sie die Details, die in der SAML-Konfiguration hinzugefügt werden müssen.
   • NameId:
     • Wert: Konfigurieren Sie die E-Mail-Adresse, die in der Namens-ID gesendet werden soll
     • Format: Konfigurieren Sie das NameId-Format als "Nicht angegeben".
   • Zusätzliche SAML-Attribute: Nachfolgend finden Sie die zusätzlichen SAML-Attribute
     • firstName: Vorname des Benutzers
     • lastName: Nachname des Benutzers
6. WICHTIG: Testen Sie die SSO-Einrichtung, bevor Sie "Identitätsanbieter aktivieren". Sie können die SSO-Einrichtung mithilfe eines vom Identitätsanbieter initiierten Flows testen. 
   • Öffnen Sie ein Inkognito-Fenster und geben Sie die URL des SSO-Diensts des Identitätsanbieters ein
   • Melden Sie sich mit Ihren Unternehmensanmeldeinformationen bei Ihrem Identitätsanbieter an.
   • Nach erfolgreicher Anmeldung sendet der Identitätsanbieter eine SAML-Datei an den Palo Alto Networks Service Provider
   • Wenn es ein Problem bei der Einrichtung gibt, wird eine Fehlermeldung auf dem Bildschirm angezeigt
   • Wenn der SSO-Handshake erfolgreich war, werden Sie auf die Startseite von sso.paloaltonetworks.com weitergeleitet
7. Nachdem Sie sich vergewissert haben, dass SSO einwandfrei funktioniert, können Sie "SSO aktivieren". Dadurch wird der Identitätsanbieter für alle Benutzer innerhalb dieser E-Mail-Domäne aktiviert, mit Ausnahme von Domänenadministratoren. Domänenadministratoren (DA) verfügen über Berechtigungen zum Umgehen von Idp-SSO, um SSO-Probleme mit Supportfällen/Benutzerverwaltung zu beheben.

SSO-Anmeldung verifizieren

Sobald Sie den Identitätsanbieter aktiviert haben, werden alle Benutzer (mit Ausnahme von Domänenadministratoren) gezwungen, sich über SSO anzumelden. Sie können die End-to-End-Einrichtung überprüfen, indem Sie die folgenden Schritte ausführen

Öffnen Sie ein neues Inkognito-Browserfenster, und rufen Sie die URL des Supportportals auf.

• Geben Sie die E-Mail-Adresse auf der Anmeldeseite an (keine E-Mail-Adresse eines Domain-Administrators)
• Sie werden zur Authentifizierung auf Ihre Idp-Anmeldeseite weitergeleitet
• Nach der Authentifizierung sollten Sie zur Startseite des Kundensupportportals weitergeleitet werden.

Faqs

Warum kann ich nicht auf die Seite "SSO-Einstellungen" zugreifen?

Wenn Sie die folgende Fehlermeldung sehen, überprüfen Sie bitte, ob die folgenden URLs zu Ihrer Zulassungsliste in Ihrem Netzwerk hinzugefügt wurden und ob keine Firewall den Zugriff blockiert.

     https://accounts.paloaltonetworks.com/

     https://accounts.api.paloaltonetworks.com/ Nachricht: Bei der Bearbeitung Ihrer Anfrage ist ein Fehler aufgetreten, wenden Sie sich bitte an: ssoadmins@paloaltonetworks.com

Kommt es zu einem Ausfall, wenn ich zu 3rd Party Idp wechsle?

Ja, es kann zu einem potenziellen Ausfall von ca. 1 Stunde kommen, während der Domänenadministrator den Identitätsanbieter konfiguriert und aktiviert. Wenn sie sorgfältig getestet und durchgeführt werden, kommt es zu keinem Ausfall.

An wen wende ich mich, wenn nach der Migration SSO-Probleme auftreten?

Wenn Sie Probleme haben, öffnen Sie bitte einen Admin-Fall unter https://support.paloaltonetworks.com. Wenn Sie sich nicht einloggen können, verwenden Sie bitte die Schaltfläche "Benötigen Sie Hilfe?" verwenden.

Gibt es weitere Änderungen in der Art und Weise, wie Benutzer im Supportportal hinzugefügt werden?

Nein. Es gibt keine Änderung an diesem Prozess, mit einer Ausnahme: Der Kontoregistrierungslink kann nicht zum Hinzufügen von Benutzern mit einer 3rd-Party-fähigen Domain verwendet werden.
Die JIT-Bereitstellung und -Automatisierung bei der Benutzererstellung zwischen CSP und der IDP-Plattform von Drittanbietern wird derzeit nicht unterstützt. Benutzer müssen manuell auf CSP hinzugefügt werden.

Warum lehnt der Identitätsanbieter die SAML-Antwort ab?

Stellen Sie sicher, dass Sie das NameID-Format als "Nicht angegeben" konfigurieren. Der Dienstanbieter signiert die SAML-Anforderung und sendet das NameID-Format als "Unspecified". Diese Einstellung muss mit der Konfiguration im Identitätsanbieter übereinstimmen.

So erneuern Sie das SSO-IDP-Zertifikat

Bitte lesen Sie diesen Artikel als Referenz:
https://paloaltonetworks.lightning.force.com/lightning/r/Knowledge__kav/ka14u000000XzEuAAK/view?ws=%2Flightning%2Fr%2FCase%2F5004u00002xNaUxAAK%2Fview