Cómo insertar la asignación de grupos administrada de Cloud Identity Engine (CIE) a los firewalls
26918
Created On 07/01/22 23:41 PM - Last Modified 05/09/23 08:16 AM
Objective
Para insertar la asignación de grupos administrada de Cloud Identity Engine a los firewalls
Nota: Cloud Identity Engine consta de dos componentes: Directory Sync, que proporciona información de usuario, y Cloud Authentication Service, que autentica a los usuarios. Para una solución de identidad más completa, Palo Alto Networks recomienda usar ambos componentes, pero puede configurar los componentes de forma independiente.
Environment
- Prisma Access
- Motor de identidad en la nube activado y configurado
Procedure
Para insertar asignaciones de grupos administradas de Cloud Identity Engine () en los firewalls, esos grupos deben agregarse primero en Seguridad Policy (CIEpor ejemplo, especificando uno o más usuarios o grupos que recuperan firewall de Cloud Identity Engine como usuario de origen).
El firewall recopila atributos sólo para los usuarios y grupos que se utilizan en las reglas de seguridad policy , no para todos los usuarios y grupos del directorio.
Agregarlos al descifrado Policy o autenticación policy o anulación Policy de aplicaciones empujará NOT a los grupos a los firewalls.
- Si crea una seguridad policy ficticia para insertar estos CIE grupos administrados y luego elimina la ficticia policy, los grupos seguirán presentes durante algún tiempo, pero después de la próxima actualización automática / manual de asignación de grupos, se eliminarán y el tráfico no funcione como se esperaba.
- ¿Los clientes necesitan hacer algo especial después de agregar nuevos usuarios al grupo a través AD de la espera externa a la CIE sincronización?
Respuesta: Después de agregar los nuevos usuarios al AD, se sincronizará automáticamente, pero si desea realizar una sincronización 'manual', CIE puede hacerlo desde CIE App el Hub portal. Los firewalls se actualizarán periódicamente para obtener la información
más reciente sobre la asignación de grupos
- Si bien agregar los grupos a una seguridad policy primero para usarlos en otro lugar es un paso adicional para impulsar las asignaciones de grupos en los dispositivos, actualmente esto es por diseño y será una solicitud de característica (FR) para realizar este cambio. Los clientes pueden pedir a sus ingenieros de sistemas (SE) de Palo Alto Networks que presenten una solicitud de función y nuestro equipo de productos los revisará para futuras mejoras del producto, pero desafortunadamente no ETA hay información sobre cuándo se implementará ninguna FR .
Additional Information
Caso de uso:
- El cliente tiene una regla de seguridad para permitir todo SSL el tráfico para todos los usuarios de su empresa.
- El cliente desea descifrar este SSL tráfico para algunos grupos que ha configurado y sincronizado con Hub CIE app.
- Para empujar estos grupos a los firewalls, el cliente tiene que permitir esos grupos en la seguridad policy. Solo entonces esos grupos serán empujados a los firewalls. Consulte Cloud Identity Engine