Comment activer un fournisseur d’identité tiers (IDP)

Comment activer un fournisseur d’identité tiers (IDP)

46034
Created On 09/16/22 14:52 PM - Last Modified 03/20/24 22:13 PM


Environment


Portail de support à la clientèle (CSP)

    Resolution


    Comment activer un fournisseur d’identité tiers (IDP)

    • Résumé
    • Qu’est-ce qu’un fournisseur d’identité tiers ?
    • Pré-réquisites
    • Activer le fournisseur d’identité tiers
    • Vérifier la connexion SSO
    • Foire aux questions (FAQ)
      • Pourquoi ne puis-je pas accéder à la page Paramètres de l’authentification unique ?
      • Y aura-t-il une panne lorsque je passerai à un fournisseur d’identité tiers ?
      • Qui dois-je contacter si je rencontre des problèmes d’authentification unique après la migration ?
      • Y a-t-il d’autres changements dans la façon dont les utilisateurs sont ajoutés dans le portail d’assistance ?
      • Pourquoi le fournisseur d’identité rejette-t-il la réponse SAML ?
     

    Résumé

    Ce document couvre les détails sur la façon d’activer le fournisseur d’identité tiers (Idp) pour l’authentification unique.

    L’activation de l’option Idp tiers dans le portail de support client (CSP) permet aux membres du compte de se connecter à l’aide de leurs propres informations d’identification d’entreprise.

    Étant donné qu’un fournisseur d’identité tiers est configuré au niveau du domaine, les membres peuvent appartenir à plusieurs comptes CSP et s’y connecter à l’aide de leur authentification unique d’entreprise. Ils peuvent également se connecter à d’autres applications Palo Alto Networks en utilisant la même configuration.

     

    Qu’est-ce qu’un fournisseur d’identité tiers ?

    Palo Alto Networks permet aux clients et aux partenaires d’apporter leur propre fournisseur d’identité pour accéder aux ressources de Palo Alto Networks, par exemple, le portail d’assistance à la clientèle. Les comptes d’administrateur de domaine (DA) seront une exception, ils continueront à utiliser les informations d’identification Palo Alto Networks.

     

    Pré-requis

    Vous trouverez ci-dessous les conditions préalables à l’activation d’un fournisseur d’identité tiers pour votre domaine :

    1. Vous devez disposer du rôle d’administrateur de domaine (DA) dans le fournisseur de services cloud pour pouvoir configurer l’accès à l’Idp tiers pour votre compte.
    2. Vous devez disposer d’un accès administrateur sur le fournisseur d’identité pour mettre à jour les détails de configuration de l’authentification unique fournis par Palo Alto Networks.
    3. Vous avez besoin d’un compte non-administrateur de domaine (DA) pour la vérification.
    4. Assurez-vous que les URL ci-dessous sont accessibles à partir de votre réseau.Vous devrez peut-être travailler avec votre équipe informatique/réseau pour ajouter ces URL à la liste blanche.

                      https://accounts.paloaltonetworks.com/

                      https://accounts.api.paloaltonetworks.com/

     

    Activer le fournisseur d’identité tiers

    1. Pour activer un fournisseur d’identité tiers, accédez à la page Détails du compte dans le fournisseur de services cloud et cliquez sur Afficher les paramètres d’authentification unique pour votre domaine.
    2. Le lien vous mènera au portail où vous pourrez entrer les détails du fournisseur d’identité.Si vous voyez le message d’erreur ci-dessous, veuillez vérifier si les URL mentionnées dans la section Conditions préalables ci-dessus sont accessibles depuis votre réseau et si un pare-feu ne bloque pas ces URL.
      Une erreur s’est produite lors du traitement de votre demande, veuillez contacter : ssoadmins@paloaltonetworks.com.
    3. Entrez les détails de votre fournisseur d’identité dans le formulaire et cliquez sur « Enregistrer ». Notez que cela n’enregistrera que la configuration - elle n’est pas encore activée. Assurez-vous de tester la configuration de l’authentification unique avant d’activer le fournisseur d’identité pour tous les utilisateurs du domaine.

    1. Une fois que vous avez enregistré la configuration, vous verrez les informations sur le fournisseur de services Palo Alto Networks affichées vers le bas de la page.
    2. Mettez à jour votre fournisseur d’identité avec les informations Palo Alto Networks affichées sur la page. Vous trouverez ci-dessous les détails à ajouter dans la configuration SAML.
      • NameId :
        • Valeur : configurez l’adresse e-mail à envoyer dans l’identificateur de nom
        • Format : configurez le format NameId sur « Non spécifié »
      • Attributs SAML supplémentaires : Vous trouverez ci-dessous les attributs SAML supplémentaires
        • firstName : prénom de l’utilisateur
        • lastName : nom de famille de l’utilisateur
    3. IMPORTANT : Testez la configuration de l’authentification unique avant d’activer le fournisseur d’identité. Vous pouvez tester la configuration de l’authentification unique à l’aide d’un flux initié par le fournisseur d’identité. 
      • Ouvrez une fenêtre de navigation privée et entrez l’URL du service d’authentification unique du fournisseur d’identité
      • Connectez-vous à votre fournisseur d’identité à l’aide de vos informations d’identification d’entreprise
      • Une fois la connexion établie, le fournisseur d’identité publiera un SAML auprès du fournisseur de services Palo Alto Networks
      • S’il y a un problème dans la configuration, vous verrez un message d’erreur à l’écran
      • Si l’établissement de liaison SSO a réussi, vous serez redirigé vers la page d’accueil de sso.paloaltonetworks.com
    4. Une fois que vous avez vérifié que l’authentification unique fonctionne correctement, vous pouvez « Activer l’authentification unique ». Cela activera le fournisseur d’identité pour tous les utilisateurs de ce domaine de messagerie, à l’exception des administrateurs de domaine. Les administrateurs de domaine (DA) auront les privilèges nécessaires pour contourner l’authentification unique de l’Idp afin de résoudre les problèmes d’authentification unique liés aux cas de support et à la gestion des utilisateurs.

     

    Vérifier la connexion SSO

    Une fois que vous avez activé le fournisseur d’identité, tous les utilisateurs (à l’exception des administrateurs de domaine) sont forcés de se connecter via l’authentification unique. Vous pouvez vérifier la configuration de bout en bout en suivant les étapes ci-dessous

    Ouvrez une nouvelle fenêtre de navigation privée et accédez à l’URL du portail d’assistance.

    • Indiquez l’adresse e-mail sur la page de connexion (pas l’adresse e-mail d’un administrateur de domaine)
    • Vous serez redirigé vers la page de connexion de votre fournisseur d’identité pour l’authentification
    • Après l’authentification, vous devriez être redirigé vers la page d’accueil du portail de support client.
     

    Foire aux questions (FAQ)

    Pourquoi ne puis-je pas accéder à la page Paramètres de l’authentification unique ?

    Si vous voyez le message d’erreur ci-dessous, vérifiez si les URL ci-dessous sont ajoutées à votre liste verte sur votre réseau et qu’aucun pare-feu ne bloque l’accès.

         https://accounts.paloaltonetworks.com/

         https://accounts.api.paloaltonetworks.com/ Message : Une erreur s’est produite lors du traitement de votre demande, veuillez contacter : ssoadmins@paloaltonetworks.com

    Y aura-t-il une panne lorsque je passerai à un fournisseur d’identité tiers ?

    Oui, il peut y avoir une panne potentielle d’environ 1 heure pendant que l’administrateur de domaine configure et active le fournisseur d’identité. S’il est testé et fait avec soin, il n’y aura pas de panne.

    Qui dois-je contacter si je rencontre des problèmes d’authentification unique après la migration ?

    Si vous rencontrez des problèmes, veuillez ouvrir un dossier d’administration à https://support.paloaltonetworks.com. Si vous ne parvenez pas à vous connecter, veuillez utiliser la page « Besoin d’aide ?« de l’option.

    Y a-t-il d’autres changements dans la façon dont les utilisateurs sont ajoutés dans le portail d’assistance ?

    Non. Il n’y a aucun changement à ce processus, à une exception près : le lien d’enregistrement de compte ne peut pas être utilisé pour ajouter des utilisateurs avec un domaine tiers activé.
    Le provisionnement JAT et l’automatisation de la création d’utilisateurs entre CSP et la plate-forme IDP tierce ne sont pas pris en charge à ce stade. Les utilisateurs doivent être ajoutés manuellement sur CSP.

    Pourquoi le fournisseur d’identité rejette-t-il la réponse SAML ?

    Assurez-vous de configurer le format NameID sur « Non spécifié ». Le fournisseur de services signe la demande SAML et envoie le format NameID comme « Non spécifié ». Ce paramètre doit correspondre à ce qui est configuré dans le fournisseur d’identité.

    Comment renouveler le certificat SSO IDP

    Veuillez consulter cet article pour votre référence :
    https://paloaltonetworks.lightning.force.com/lightning/r/Knowledge__kav/ka14u000000XzEuAAK/view?ws=%2Flightning%2Fr%2FCase%2F5004u00002xNaUxAAK%2Fview


     
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZ8mCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language