如何推送 Cloud Identity Engine (CIE ) 管理组映射到防火墙
26607
Created On 07/01/22 23:41 PM - Last Modified 05/09/23 08:18 AM
Objective
将 Cloud Identity Engine 管理的组映射推送到防火墙
笔记:云身份引擎由两个组件组成:提供用户信息的目录同步和对用户进行身份验证的云身份验证服务。 对于更全面的身份解决方案,Palo Alto Networks 建议同时使用这两个组件,但您可以单独配置这些组件。
Environment
Procedure
为了推动 Cloud Identity Engine (CIE ) 管理到防火墙的组映射,这些组需要添加到安全下Policy首先(例如,通过指定一个或多个用户或组,firewall作为源用户从 Cloud Identity Engine 检索)。
这firewall仅为您在安全中使用的用户和组收集属性policy规则,而不是目录中的所有用户和组。
将它们添加到解密Policy或认证policy或应用程序覆盖Policy将要NOT将组推送到防火墙。
- 如果你创建一个虚拟证券policy推动这些CIE托管组,稍后删除虚拟policy,这些组仍将存在一段时间,但在下一次自动/手动组映射刷新后,这些组将被删除,导致流量无法按预期工作。
- 通过以下方式将新用户添加到组后,客户是否需要做任何特别的事情?AD在等待之外CIE同步?
答:添加新用户后AD,CIE将自动同步,但如果您想执行“手动”同步,您可以从CIEApp在Hub门户网站。 防火墙将定期刷新以获取最新的组映射信息 - 在将组添加到证券时policy首先为了在其他地方使用它们是将组映射推送到设备上的额外步骤,目前这是设计使然,它将是一个功能请求(FR ) 进行此更改。 客户可以要求他们的 Palo Alto Networks 的系统工程师 (SE) 提交功能请求,我们的产品团队将审查它们以进行未来的产品增强,但不幸的是ETA在任何时候FR将实施。
Additional Information
用例:
- 客户有一个安全规则允许所有SSL他们公司所有用户的流量。
- 客户想解密这个SSL他配置并同步到的几个组的流量CIEHubapp.
- 为了将这些组推送到防火墙,客户必须允许这些组在安全policy. 只有这样,这些组才会被推送到防火墙。 参考云身份引擎