Cloud Identity Engine をプッシュする方法 (CIE ) ファイアウォールへのマネージド グループ マッピング
26605
Created On 07/01/22 23:41 PM - Last Modified 05/09/23 08:16 AM
Objective
Cloud Identity Engine マネージド グループ マッピングをファイアウォールにプッシュするには
ノート: Cloud Identity Engine は、ユーザー情報を提供する Directory Sync と、ユーザーを認証する Cloud Authentication Service の 2 つのコンポーネントで構成されます。 より包括的な ID ソリューションについては、Palo Alto Networks は両方のコンポーネントを使用することをお勧めしますが、コンポーネントを個別に構成することもできます。
Environment
Procedure
Cloud Identity Engine をプッシュするには (CIE ) ファイアウォールへのグループ マッピングを管理します。これらのグループは、セキュリティの下に追加する必要があります。Policy最初に (たとえば、1 つまたは複数のユーザーまたはグループを指定して、firewallソース ユーザーとして Cloud Identity Engine から取得します)。
のfirewallセキュリティで使用するユーザーとグループの属性のみを収集しますpolicyディレクトリ内のすべてのユーザーとグループではありません。
それらを復号化に追加するPolicyまたは認証policyまたはアプリケーションオーバーライドPolicy意思NOTグループをファイアウォールにプッシュします。
- ダミー証券を作成する場合policyこれらを押すCIE管理されたグループ以降はダミーを削除しますpolicy、グループはしばらくの間存在し続けますが、次の自動/手動グループ マッピングの更新後にそれらが削除され、トラフィックが期待どおりに機能しなくなります。
- グループに新しいユーザーを追加した後、顧客は何か特別なことをする必要がありますか?AD待っている以外CIE同期するには?
回答: 新しいユーザーをAD、CIE自動的に同期しますが、「手動」同期を実行したい場合は、CIEApp上でHubポータル。 ファイアウォールは定期的に更新され、最新のグループ マッピング情報を取得します - グループをセキュリティに追加するときpolicy最初にそれらを別の場所で使用するには、グループ マッピングをデバイスにプッシュする追加の手順が必要です。現在、これは仕様によるものであり、機能のリクエストになります (FR ) をクリックしてこの変更を行います。 お客様は、Palo Alto Networks のシステム エンジニア (SE) に機能リクエストを提出するように依頼できます。当社の製品チームは、将来の製品拡張のためにそれらを確認しますが、残念ながら、それはありません。ETAいつでもFRが実施されます。
Additional Information
使用事例:
- 顧客には、すべてを許可するセキュリティ ルールがあります。SSL社内のすべてのユーザーのトラフィック。
- 顧客はこれを解読したいSSL彼が構成して同期したいくつかのグループのトラフィックCIEHubapp.
- これらのグループをファイアウォールにプッシュするには、顧客はこれらのグループをセキュリティで許可する必要がありますpolicy. そうして初めて、それらのグループがファイアウォールにプッシュされます。 参照クラウド ID エンジン