如何启用第三方身份提供程序 (IDP)

如何启用第三方身份提供程序 (IDP)

46038
Created On 09/16/22 14:52 PM - Last Modified 03/20/24 22:13 PM


Environment


客户支持门户 (CSP)

    Resolution


    如何启用第三方身份提供程序 (IDP)

    • 总结
    • 什么是第三方身份提供商?
    • 先决条件
    • 启用第三方身份提供程序
    • 验证 SSO 登录
    • 常见问题解答
      • 为什么我无法访问“SSO 设置”页面?
      • 当我切换到第三方 IDP 时,是否会出现任何中断?
      • 如果我在迁移后遇到 SSO 问题,我应该联系谁?
      • 在支持门户中添加用户的方式是否有任何其他更改?
      • 为什么身份提供商拒绝 SAML 响应?
     

    总结

    本文档详细介绍了如何为SSO启用第三方身份提供商(Idp)。

    在客户支持门户 (CSP) 中启用第三方 Idp 选项允许帐户成员使用自己的公司凭据登录。

    由于第三方 Idp 是在域级别设置的,因此成员可能属于多个 CSP 帐户并使用其公司 SSO 登录多个 CSP 帐户。 他们还可以使用相同的设置登录到其他 Palo Alto Networks 应用程序。

     

    什么是第三方身份提供商?

    Palo Alto Networks 允许客户和合作伙伴自带身份提供商访问 Palo Alto Networks 资源,例如客户支持门户。 域管理员 (DA) 帐户将是一个例外,它们将继续使用 Palo Alto Networks 凭据。

     

    先决条件

    以下是为您的域启用第三方 Idp 的先决条件:

    1. 您必须在 CSP 中具有域管理员 (DA) 角色,才能为您的账户配置第三方 Idp 访问权限。
    2. 您必须对身份提供程序具有管理员访问权限,才能更新 Palo Alto Networks 提供的 SSO 配置详细信息。
    3. 您需要一个非域管理员 (DA) 帐户进行验证。
    4. 确保可以从您的网络访问以下 URL。您可能需要与 IT/网络团队合作,将这些 URL 列入白名单。

                      https://accounts.paloaltonetworks.com/

                      https://accounts.api.paloaltonetworks.com/

     

    启用第三方身份提供程序

    1. 若要启用第三方 Idp,请导航到 CSP 中的“帐户详细信息”页,然后单击域的“查看单一登录设置”。
    2. 该链接将带你进入门户,可在其中输入标识提供者详细信息。如果您看到以下错误消息,请检查上述“先决条件”部分中提到的 URL 是否可以从您的网络访问,以及防火墙是否未阻止这些 URL。
      处理您的请求时出错,请联系: ssoadmins@paloaltonetworks.com
    3. 在表单中输入您的身份提供商详细信息,然后单击“保存”。 请注意,这只会保存配置 - 它尚未激活。 请确保在为域中的所有用户启用身份提供程序之前测试 SSO 设置。

    1. 保存配置后,您将看到页面底部显示的 Palo Alto Networks 服务提供商信息。
    2. 使用页面上显示的 Palo Alto Networks 信息更新您的身份提供商。 以下是要在 SAML 配置中添加的详细信息。
      • NameId:
        • 值:在“名称标识符”中配置要发送的电子邮件地址
        • 格式:将 NameId 格式配置为“未指定”
      • 其他 SAML 属性:以下是其他 SAML 属性
        • firstName:用户的名字
        • lastName:用户的姓氏
    3. 重要提示:在“启用身份提供商”之前测试 SSO 设置。 您可以使用身份提供商发起的流程测试 SSO 设置。 
      • 打开无痕式窗口,然后输入身份提供商 SSO 服务 URL
      • 使用您的企业凭据登录您的身份提供商
      • 成功登录后,身份提供商会将 SAML 发布到 Palo Alto Networks 服务提供商
      • 如果设置中出现问题,您将在屏幕上看到一条错误消息
      • 如果 SSO 握手成功,您将被带到 sso.paloaltonetworks.com 的主页
    4. 确认 SSO 工作正常后,您可以“启用 SSO”。 这将为该电子邮件域中的所有用户(域管理员除外)启用身份提供程序。 域管理员 (DA) 将有权绕过 Idp SSO,以解决支持案例/用户管理的 SSO 问题。

     

    验证 SSO 登录

    启用身份提供程序后,将强制所有用户(域管理员除外)通过 SSO 登录。 您可以按照以下步骤验证端到端设置

    打开新的隐身浏览器窗口并访问支持门户 URL。

    • 在登录页面上提供电子邮件地址(不是域管理员电子邮件地址)
    • 您将被重定向到 Idp 登录页面进行身份验证
    • 身份验证后,您应该会转到客户支持门户主页。
     

    常见问题解答

    为什么我无法访问“SSO 设置”页面?

    如果您看到以下错误消息,请检查以下 URL 是否已添加到网络上的允许列表中,并且没有防火墙阻止访问。

         https://accounts.paloaltonetworks.com/

         https://accounts.api.paloaltonetworks.com/ 消息:处理您的请求时出错,请联系: ssoadmins@paloaltonetworks.com

    当我切换到第三方 Idp 时,是否会出现任何中断?

    是的,在域管理员配置和激活身份提供程序时,可能会有大约 1 小时的潜在中断。 如果经过测试并仔细完成,则不会出现中断。

    如果我在迁移后遇到 SSO 问题,我应该联系谁?

    如果您有问题,请拨打 https://support.paloaltonetworks.com 提交管理员案例。如果您无法登录,请使用“需要帮助?“选项。

    在支持门户中添加用户的方式是否有其他更改?

    否. 此过程没有变化,但有一个例外:帐户注册链接不能用于添加启用了第三方域的用户。
    目前不支持在 CSP 和第三方 IDP 平台之间创建用户时的 JIT 预配和自动化。 必须在 CSP 上手动添加用户。

    为什么身份提供商拒绝 SAML 响应?

    请务必将 NameID 格式配置为“未指定”。 服务提供商对 SAML 请求进行签名,并将 NameID 格式发送为“未指定”。 此设置必须与身份提供程序中配置的内容匹配。

    如何续订 SSO IDP 证书

    请参阅本文以供参考:
    https://paloaltonetworks.lightning.force.com/lightning/r/Knowledge__kav/ka14u000000XzEuAAK/view?ws=%2Flightning%2Fr%2FCase%2F5004u00002xNaUxAAK%2Fview


     
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZ8mCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language