如何配置管理员账户以使用不同的 SAML IdP 提供程序
7057
Created On 02/15/23 16:14 PM - Last Modified 01/07/25 05:24 AM
Objective
- 为每个 SAML IdP 提供商配置 SAML身份验证配置文件。
- 将每个管理员帐户与所选的 SAML身份验证配置文件配置文件关联。
- 这将确保每个管理员都使用指定的 SAML IdP 供应商进行身份验证。
Environment
- Palo Alto 防火墙或 Panorama
- 支持的 PAN OS
- SAML IdP服务器配置文件
- 身份验证配置文件
Procedure
- 按照Panorama 管理员或防火墙管理员指南中针对每个 SAML 身份提供者 (IdP)的步骤 1 至 3进行操作。
- 使用以下步骤在防火墙/Panorama 中创建管理员帐户:
- 选择设备/Panorama > 管理员并添加管理员。
- 输入名称以标识管理员。(此名称必须与 IdP 在 SAML响应中传回的用户名匹配,并且不能包含特殊字符@ 。配置 IdP 属性以“域\用户名”或“用户名”格式发送用户名)
- 选择上一步配置的相应身份验证配置文件。
- 选择管理员类型及其各自的管理员角色。
- 单击“OK”保存管理员帐户。
- 选择“提交”>“提交/提交到 Panorama”以激活防火墙/Panorama 上的更改,并验证在步骤 2中分配给 SAML IdP 服务器配置文件的身份提供者证书。
- 验证管理员是否可以使用 SAML SSO进行身份验证,如Panorama 管理员或防火墙管理员指南中步骤 6中所述。
- 防火墙/Panorama 会将您重定向到分配给此管理员的 IdP 进行身份验证,从而显示 SAML登录页面。
- 使用您的SSO用户名和密码登录。
- 在 IdP 上成功进行身份验证后,它会将您重定向回防火墙/全景图,其中会显示Web 界面。
Additional Information
- 管理员可以使用 SAML 对防火墙/Panorama Web 界面进行身份验证,但不能对CLI进行身份验证。
- 可以在防火墙/全景图中配置默认的身份验证配置文件,这样,当输入的SSO帐户不是有效的防火墙/全景图管理员时,防火墙/全景图会重定向到特定的 IdP:
- 选择设备 /Panorama >设置>管理,编辑身份验证设置,然后选择之前配置的身份验证配置文件之一。
- 选择“提交” > “提交/提交至全景” 。