So übertragen Sie die verwaltete Gruppenzuordnung von Cloud Identity Engine (CIE) auf die Firewalls
26916
Created On 07/01/22 23:41 PM - Last Modified 05/09/23 08:16 AM
Objective
So pushen Sie die verwaltete Gruppenzuordnung der Cloud Identity Engine an die Firewalls
Hinweis: Die Cloud Identity Engine besteht aus zwei Komponenten: Directory Sync, die Benutzerinformationen bereitstellt, und dem Cloud Authentication Service, der Benutzer authentifiziert. Für eine umfassendere Identitätslösung empfiehlt Palo Alto Networks die Verwendung beider Komponenten, aber Sie können die Komponenten unabhängig voneinander konfigurieren.
Environment
- Prisma Access
- Cloud Identity Engine aktiviert und konfiguriert
Procedure
Um verwaltete Gruppenzuordnungen von Cloud Identity Engine () per Push an die Firewalls zu übertragen, müssen diese Gruppen unter "Sicherheit Policy zuerst" hinzugefügt werden (CIEz. B. durch Angabe eines oder mehrerer Benutzer oder Gruppen, die von firewall der Cloud Identity Engine abgerufen werden, als Quellbenutzer).
Attribute firewall werden nur für die Benutzer und Gruppen erfasst, die Sie in Sicherheitsregeln policy verwenden, nicht für alle Benutzer und Gruppen im Verzeichnis.
Wenn Sie sie der Entschlüsselung, Authentifizierung Policy oder Anwendungsüberschreibung Policy hinzufügen, werden NOT die Gruppen an die Firewalls policy übertragen.
- Wenn Sie eine Dummy-Sicherheit policy erstellen, um diese verwalteten Gruppen zu pushen und später den Dummy policyzu löschen, sind die Gruppen noch einige Zeit vorhanden, aber nach der nächsten automatischen / manuellen Gruppenzuordnungsaktualisierung werden diese CIE entfernt, was dazu führt, dass der Datenverkehr nicht wie erwartet funktioniert.
- Müssen die Kunden etwas Besonderes tun, nachdem sie der Gruppe neue Benutzer hinzugefügt haben, anstatt AD auf die Synchronisierung zu warten CIE ?
Antwort: Nachdem Sie die neuen Benutzer zum ADhinzugefügt haben, wird die Synchronisierung automatisch durchgeführt, aber wenn Sie eine "manuelle" Synchronisierung durchführen möchten, CIE können Sie dies über CIE App das Hub Portal tun. Firewalls werden regelmäßig aktualisiert, um die neuesten Informationen
zur Gruppenzuordnung zu erhalten
- Während das Hinzufügen der Gruppen zu einer Sicherheit policy zuerst, um sie an anderer Stelle zu verwenden, ein zusätzlicher Schritt ist, um die Gruppenzuordnungen auf die Geräte zu übertragen, ist dies derzeit beabsichtigt und es wird eine Funktionsanforderung (FR) sein, diese Änderung vorzunehmen. Kunden können die Systemingenieure (SEs) ihrer Palo Alto Networks bitten, eine Feature-Anfrage einzureichen, und unser Produktteam wird sie auf zukünftige Produktverbesserungen überprüfen, aber leider gibt es keine ETA Angabe, wann welche FR implementiert werden.
Additional Information
Verwendung Case:
- Der Kunde verfügt über eine Sicherheitsregel, um den gesamten SSL Datenverkehr für alle Benutzer in seinem Unternehmen zuzulassen.
- Der Kunde möchte diesen SSL Datenverkehr für einige Gruppen entschlüsseln, die er konfiguriert und mit synchronisiert CIE Hub apphat.
- Um diese Gruppen an die Firewalls zu pushen, muss der Kunde diese Gruppen in der Sicherheit policyzulassen. Erst dann werden diese Gruppen an die Firewalls gepusht. Weitere Informationen finden Sie unter Cloud Identity Engine