Cómo habilitar un proveedor de identidad de terceros (IDP)

Portal de soporte al cliente (CSP)

Cómo habilitar un proveedor de identidad de terceros (IDP)

• Resumen
• ¿Qué es un proveedor de identidad de terceros?
• Requisitos previos
• Habilitar proveedor de identidades de terceros
• Verificar el inicio de sesión único
• Preguntas frecuentes
  • ¿Por qué no puedo acceder a la página Configuración de SSO?
  • ¿Habrá alguna interrupción cuando cambie a IDP de terceros?
  • ¿Con quién me comunico si tengo problemas de SSO después de la migración?
  • ¿Hay algún otro cambio en la forma en que se agregan los usuarios en el portal de soporte?
  • ¿Por qué el proveedor de identidades rechaza la respuesta SAML?

Resumen

En este documento se describen los detalles sobre cómo habilitar el proveedor de identidades (Idp) de terceros para SSO.

La habilitación de la opción Idp de terceros en el Portal de atención al cliente (CSP) permite a los miembros de la cuenta iniciar sesión con sus propias credenciales corporativas.

Dado que un Idp de terceros está configurado en el nivel de dominio, los miembros pueden pertenecer a varias cuentas de CSP e iniciar sesión en ellas mediante su SSO corporativo. También pueden iniciar sesión en otras aplicaciones de Palo Alto Networks utilizando la misma configuración.

¿Qué es un proveedor de identidad de terceros?

Palo Alto Networks permite a los clientes y socios traer su propio proveedor de identidad para acceder a los recursos de Palo Alto Networks, por ejemplo, el Portal de Atención al Cliente. Las cuentas de administrador de dominio (DA) serán una excepción, seguirán utilizando las credenciales de Palo Alto Networks.

Requisitos previos

A continuación se detallan los requisitos previos para habilitar un Idp de terceros para su dominio:

1. Debe tener el rol de administrador de dominio (DA) en el CSP para poder configurar el acceso de Idp de terceros para su cuenta.
2. Debe tener acceso de administrador en el proveedor de identidades para actualizar los detalles de configuración de SSO proporcionados por Palo Alto Networks.
3. Necesita una cuenta que no sea de administrador de dominio (DA) para la verificación.
4. Asegúrese de que las URL a continuación sean accesibles desde su red.Es posible que tenga que trabajar con su equipo de TI/red para incluir estas URL en la lista blanca.

                  https://accounts.paloaltonetworks.com/

                  https://accounts.api.paloaltonetworks.com/

Habilitar proveedor de identidades de terceros

1. Para habilitar un Idp de terceros, vaya a la página Detalles de la cuenta en el CSP y haga clic en Ver configuración de inicio de sesión único para su dominio.
2. El enlace le llevará al portal donde podrá introducir los datos del proveedor de identidad.Si ve el mensaje de error a continuación, verifique si las URL mencionadas en la sección Requisitos previos anteriores son accesibles desde su red y si un firewall no está bloqueando estas URL.
   Se ha producido un error al procesar su solicitud, póngase en contacto con: ssoadmins@paloaltonetworks.com.
3. Introduzca los datos de su proveedor de identidad en el formulario y haga clic en "Guardar". Tenga en cuenta que esto solo guardará la configuración, aún no está activada. Asegúrese de probar la configuración de SSO antes de habilitar el proveedor de identidades para todos los usuarios del dominio.

4. Una vez que guarde la configuración, verá la información del proveedor de servicios de Palo Alto Networks en la parte inferior de la página.
5. Actualice su proveedor de identidad con la información de Palo Alto Networks que se muestra en la página. A continuación se muestran los detalles que se agregarán en la configuración de SAML.
   • NameId:
     • Valor: configurar la dirección de correo electrónico que se enviará en el identificador de nombre
     • Formato: configure el formato NameId como "Sin especificar"
   • Atributos SAML adicionales: A continuación se muestran los atributos SAML adicionales
     • firstName: Nombre del usuario
     • lastName: apellido del usuario
6. IMPORTANTE: Pruebe la configuración de SSO antes de "Habilitar proveedor de identidad". Puede probar la configuración de SSO mediante un flujo iniciado por el proveedor de identidades. 
   • Abra una ventana de incógnito e introduzca la URL del servicio SSO del proveedor de identidades
   • Inicie sesión en su proveedor de identidades con sus credenciales empresariales
   • Después de iniciar sesión correctamente, el proveedor de identidad publicará un SAML en el proveedor de servicios de Palo Alto Networks
   • Si hay un problema en la configuración, verá un mensaje de error en la pantalla
   • Si el protocolo de enlace SSO se realizó correctamente, se le dirigirá a la página de inicio de sso.paloaltonetworks.com
7. Una vez que haya verificado que SSO funciona bien, puede "Habilitar SSO". Esto habilitará el proveedor de identidades para todos los usuarios dentro de ese dominio de correo electrónico, excepto los administradores de dominio. Los administradores de dominio (DA) tendrán privilegios para omitir el inicio de sesión único de Idp para abordar los problemas de inicio de sesión único con casos de soporte o administración de usuarios.

Verificar el inicio de sesión único

Una vez que habilite el proveedor de identidad, todos los usuarios (excepto los administradores de dominio) se verán obligados a iniciar sesión a través de SSO. Puede verificar la configuración de un extremo a otro siguiendo los pasos que se indican a continuación

Abra una nueva ventana del navegador de incógnito y acceda a la URL del portal de soporte.

• Proporcione la dirección de correo electrónico en la página de inicio de sesión (no la dirección de correo electrónico de un administrador de dominio)
• Se le redirigirá a la página de inicio de sesión de su Idp para la autenticación
• Después de la autenticación, se le dirigirá a la página de inicio del Portal de atención al cliente.

Preguntas frecuentes

¿Por qué no puedo acceder a la página Configuración de SSO?

Si ve el mensaje de error a continuación, verifique si las URL a continuación se agregaron a su lista de permitidos en su red y si ningún firewall está bloqueando el acceso.

     https://accounts.paloaltonetworks.com/

     https://accounts.api.paloaltonetworks.com/ Mensaje: Se ha producido un error al procesar su solicitud, póngase en contacto con: ssoadmins@paloaltonetworks.com

¿Habrá alguna interrupción cuando cambie a un Idp de terceros?

Sí, puede haber una interrupción potencial de aproximadamente 1 hora mientras el administrador del dominio configura y activa el proveedor de identidad. Si se prueba y se hace cuidadosamente, no habrá interrupción.

¿Con quién me comunico si tengo problemas de SSO después de la migración?

Si tiene problemas, abra un caso de administrador en https://support.paloaltonetworks.com. Si no puede iniciar sesión, utilice la sección "¿Necesita ayuda?" opción.

¿Hay otros cambios en la forma en que se agregan usuarios en el portal de soporte?

No. No hay ningún cambio en este proceso con una excepción: el enlace de registro de cuenta no se puede usar para agregar usuarios con un dominio habilitado para terceros.
En este momento, no se admite el aprovisionamiento JIT y la automatización en la creación de usuarios entre CSP y la plataforma IDP de terceros. Los usuarios deben agregarse manualmente en CSP.

¿Por qué el proveedor de identidades rechaza la respuesta SAML?

Asegúrese de configurar el formato NameID como "Sin especificar". El proveedor de servicios firma la solicitud SAML y envía el formato NameID como "Sin especificar". Esta configuración debe coincidir con lo que está configurado en el proveedor de identidades.

Cómo renovar el certificado IDP de SSO

Consulte este artículo para obtener su referencia:
https://paloaltonetworks.lightning.force.com/lightning/r/Knowledge__kav/ka14u000000XzEuAAK/view?ws=%2Flightning%2Fr%2FCase%2F5004u00002xNaUxAAK%2Fview