Comment pousser le mappage de groupe géré Cloud Identity Engine (CIE) vers les pare-feu
26758
Created On 07/01/22 23:41 PM - Last Modified 05/09/23 08:16 AM
Objective
Pour pousser le mappage de groupe géré Cloud Identity Engine vers les pare-feu
Remarque : Cloud Identity Engine se compose de deux composants : Directory Sync, qui fournit des informations utilisateur, et Cloud Authentication Service, qui authentifie les utilisateurs. Pour une solution d’identité plus complète, Palo Alto Networks recommande d’utiliser les deux composants, mais vous pouvez configurer les composants indépendamment.
Environment
Procedure
Pour envoyer les mappages de groupes gérés par Cloud Identity Engine () aux pare-feu, ces groupes doivent d’abord être ajoutés sous Sécurité Policy (CIEpar exemple, en spécifiant un ou plusieurs utilisateurs ou groupes que le firewall récupère à partir du Cloud Identity Engine en tant qu’utilisateur source).
Le firewall collecte des attributs uniquement pour les utilisateurs et les groupes que vous utilisez dans les règles de sécurité policy , et non pour tous les utilisateurs et groupes de l’annuaire.
Les ajouter au déchiffrement Policy ou à l’authentification policy ou au remplacement Policy des applications poussera NOT les groupes vers les pare-feu.
- Si vous créez une sécurité policy factice pour pousser ces CIE groupes gérés et supprimez ultérieurement le mannequin policy, les groupes seront toujours présents pendant un certain temps, mais après la prochaine actualisation automatique / manuelle du mappage de groupe, ceux-ci seront supprimés, ce qui empêchera le trafic de fonctionner comme prévu.
- Les clients doivent-ils faire quelque chose de spécial après avoir ajouté de nouveaux utilisateurs au groupe en AD dehors de l’attente CIE de la synchronisation ?
Réponse : Après avoir ajouté les nouveaux utilisateurs au AD, se synchronisera automatiquement, CIE mais si vous souhaitez effectuer une synchronisation « manuelle », vous pouvez le faire à partir du CIE App sur le Hub portail. Les pare-feu s’actualisent périodiquement pour obtenir les dernières informations
de mappage de groupe
- Bien que l’ajout des groupes à une sécurité policy afin de les utiliser ailleurs soit une étape supplémentaire pour pousser les mappages de groupes sur les appareils, actuellement c’est par conception et ce sera une demande de fonctionnalité (FR) pour effectuer cette modification. Les clients peuvent demander aux ingénieurs système (SE) de Palo Alto Networks de déposer une demande de fonctionnalité et notre équipe produit les examinera pour de futures améliorations du produit, mais malheureusement, il n’y a pas ETA de date à laquelle elles FR seront mises en œuvre.
Additional Information
Cas d’utilisation:
- Le client dispose d’une règle de sécurité pour autoriser tout SSL le trafic pour tous les utilisateurs de son entreprise.
- Le client souhaite déchiffrer ce SSL trafic pour quelques groupes qu’il a configurés et synchronisés avec Hub CIE app.
- Afin de pousser ces groupes vers les pare-feu, le client doit autoriser ces groupes dans la sécurité policy. Ce n’est qu’alors que ces groupes seront poussés vers les pare-feu. Référer Cloud Identity Engine