Интеграция единой аутентификации Microsoft Entra с Palo Alto Networks — пользовательский интерфейс администратора

Из этой статьи вы узнаете, как интегрировать Palo Alto Networks — пользовательский интерфейс администратора с идентификатором Microsoft Entra. Выполняя интеграцию интерфейса администратора Palo Alto Networks с идентификатором Microsoft Entra ID, вы можете:

• Контролируйте доступ к пользовательскому интерфейсу администратора Palo Alto Networks с помощью Microsoft Entra ID.
• Включите автоматический вход пользователей в Palo Alto Networks — пользовательский интерфейс администратора с учетными записями Microsoft Entra.
• Управляйте своими аккаунтами централизованно.

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете бесплатно создать учетную запись.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • Владелец приложения.

• Подписка Palo Alto Networks с включённой функцией единого входа (SSO) через пользовательский интерфейс администратора.
• Это требование, что служба должна быть общедоступной. Дополнительные сведения см. на этой странице.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Пользовательский интерфейс администрирования Palo Alto Networks поддерживает единый вход, инициированный службой .
• Palo Alto Networks — панель администратора поддерживает предоставление пользователей «по запросу».

Добавление Palo Alto Networks — интерфейс администратора из галереи

Чтобы настроить интеграцию пользовательского интерфейса администратора Palo Alto Networks в Microsoft Entra ID, необходимо добавить Palo Alto Networks - Admin UI из галереи в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к Entra ID>приложениям Enterprise>Новая игра.
3. В разделе "Добавление из коллекции " введите пользовательский интерфейс администратора Palo Alto Networks в поле поиска.
4. Выберите Palo Alto Networks — пользовательский интерфейс администратора на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш арендный объект.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Palo Alto Networks — пользовательский интерфейс администратора

В этом разделе описана настройка и проверка единого входа Microsoft Entra в Palo Alto Networks — пользовательский интерфейс администратора на основе тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Palo Alto Networks - Admin UI.

Чтобы настроить и проверить единый вход Microsoft Entra в Palo Alto Networks — пользовательский интерфейс администратора, выполните следующие действия.

1. Настройте единый вход Microsoft Entra , чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначьте тестового пользователя Microsoft Entra , чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
2. Настройка Palo Alto Networks - SSO в интерфейсе администратора для настройки параметров единого входа на стороне приложения.
   1. Создать тестового пользователя Admin UI в Palo Alto Networks — для создания аналога пользователя B.Саймон в административном интерфейсе Palo Alto Networks, связанном с представлением пользователя в Microsoft Entra.
3. Проверка SSO - чтобы проверить, работает ли конфигурация.

Настройте SSO в Microsoft Entra

Выполните следующие действия, чтобы активировать Microsoft Entra SSO.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к Entra ID>Корпоративные приложения>Palo Alto Networks — интерфейс администратора>Единый вход в систему.

3. На странице "Выбор метода единого входа" выберите SAML.

4. На странице "Настройка единого входа" на странице SAML выберите значок карандаша для базовой конфигурации SAML , чтобы изменить параметры.

   

5. В разделе "Базовая конфигурация SAML" выполните следующие действия.

   a. В поле "Идентификатор" введите URL-адрес, используя следующий шаблон: https://<Customer Firewall FQDN>:443/SAML20/SP

   б. В текстовом поле "URL-адрес ответа" введите URL-адрес службы потребителей утверждений (ACS) в следующем формате: https://<Customer Firewall FQDN>:443/SAML20/SP/ACS

   с. В текстовом поле URL-адреса входа введите URL-адрес, используя следующий шаблон: https://<Customer Firewall FQDN>/php/login.php

   Примечание.

   Эти значения не являются реальными. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить эти значения, обратитесь к команде поддержки клиентов пользовательского интерфейса администратора Palo Alto Networks . Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML ".

   Для идентификатора и URL-адреса ответа требуется порт 443, так как эти значения жестко закодированы в брандмауэре Palo Alto. Удаление номера порта приводит к ошибке во время входа в систему.

   Для идентификатора и URL-адреса ответа требуется порт 443, так как эти значения жестко закодированы в брандмауэре Palo Alto. Удаление номера порта приводит к ошибке во время входа в систему.

6. Приложение пользовательского интерфейса администратора Palo Alto Networks ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

   

   Примечание.

   Так как значения атрибутов являются только примерами, сопоставить соответствующие значения для имени пользователя и adminrole. Существует еще один необязательный атрибут , accessdomain, который используется для ограничения доступа администратора к определенным виртуальным системам в брандмауэре.

7. В дополнение к вышесказанному, приложение пользовательского интерфейса администратора Palo Alto Networks ожидает, что в ответе SAML, показанном ниже, будут переданы ещё несколько атрибутов. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

   Имя	Атрибут источника
   имя пользователя	пользователь.главноеимяпользователя
   администраторская роль	customadmin

   Примечание.

   Значение "Имя ", показанное выше как adminrole, должно совпадать с атрибутом роли администратора, настроенным на шаге 12 раздела "Настройка Palo Alto Networks — единый вход в пользовательский интерфейс администратора ". Значение исходного атрибута , показанное выше как customadmin, должно совпадать с именем профиля роли администратора, которое настроено на шаге 9 раздела "Настройка Palo Alto Networks — единый вход в пользовательский интерфейс администратора ".

   Примечание.

   Дополнительные сведения об атрибутах см. в следующих статьях:

   • Профиль административной роли для пользовательского интерфейса администратора (adminrole)
   • Домен доступа к устройству для пользовательского интерфейса администратора (accessdomain)

8. На странице "Настройка одного Sign-On с помощью SAML" в разделе "Сертификат подписи SAML" выберите "Скачать", чтобы скачать XML-файл метаданных федерации из заданных параметров в соответствии с вашими потребностями и сохранить его на компьютере.

   

9. В разделе "Настройка Palo Alto Networks — пользовательский интерфейс администратора " скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

   

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в быстром начале по созданию и назначению учетной записи пользователя для создания тестовой учетной записи пользователя B.Simon.

Настройка единого входа в администраторский интерфейс Palo Alto Networks

1. Откройте пользовательский интерфейс администратора брандмауэра Palo Alto Networks от имени администратора в новом окне.

2. Выберите вкладку устройства .

   

3. В левой области выберите поставщика удостоверений SAML, а затем выберите "Импорт ", чтобы импортировать файл метаданных.

   

4. В окне импорта профиля сервера идентификации поставщика SAML выполните следующие действия.

   

   a. В поле "Имя профиля " укажите имя (например, пользовательский интерфейс администратора Microsoft Entra).

   б. В разделе метаданные поставщика удостоверений выберите «Выбрать» и выберите скачанный ранее файл metadata.xml.

   с. Снимите флажок "Проверить сертификат поставщика удостоверений ".

   д. Нажмите кнопку "ОК".

   д) Чтобы зафиксировать конфигурации брандмауэра, нажмите кнопку "Зафиксировать".

5. В левой области выберите поставщика удостоверений SAML и выберите профиль поставщика удостоверений SAML (например, пользовательский интерфейс администратора Microsoft Entra), созданный на предыдущем шаге.

   

6. В окне профиля сервера поставщика удостоверений SAML выполните следующие действия.

   

   a. Замените ранее импортированный URL-адрес SLO в поле URL-адреса SLO поставщика удостоверений следующим URL-адресом: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

   б. Нажмите кнопку "ОК".

7. В пользовательском интерфейсе администратора брандмауэра Palo Alto Networks выберите устройство и выберите роли администратора.

8. Нажмите кнопку "Добавить ".

9. В окне "Профиль роли администратора" в поле "Имя " укажите имя роли администратора (например, fwadmin). Имя роли администратора должно соответствовать имени атрибута роли администратора SAML, отправленного поставщиком удостоверений. Имя и значение роли администратора были созданы в разделе "Атрибуты пользователя ".

   

10. В Пользовательском Интерфейсе Администратора брандмауэра выберите устройство , а затем выберите профиль проверки подлинности .

11. Нажмите кнопку "Добавить ".

12. В окне профиля проверки подлинности выполните следующие действия:

    

    a. В поле "Имя" укажите имя (например, AzureSAML_Admin_AuthProfile).

    б. В раскрывающемся списке "Тип" выберите SAML.

    с. В раскрывающемся списке профиля IdP сервера выберите соответствующий профиль сервера поставщика удостоверений SAML (например, Microsoft Entra Admin UI ).

    д. Установите флажок Включить единый выход.

    д) В поле атрибута роли администратора введите имя атрибута (например, adminrole).

    е) Выберите вкладку "Дополнительно ", а затем в разделе "Список разрешений" выберите "Добавить".

    

    ж. Установите флажок "Все " или выберите пользователей и группы, которые могут пройти проверку подлинности с помощью этого профиля.
    Когда пользователь проходит проверку подлинности, брандмауэр сопоставляет связанное имя пользователя или группу с записями в этом списке. Если вы не добавляете записи, пользователи не могут пройти проверку подлинности.

    х. Нажмите кнопку "ОК".

13. Чтобы разрешить администраторам использовать единый вход SAML с помощью Azure, выберите Устройство>Настройка. В области Настройки выберите вкладку Управление, а затем в разделе Параметры проверки подлинности нажмите кнопку Настройки ("шестеренка").

    

14. Выберите профиль проверки подлинности SAML, созданный в окне профиля проверки подлинности (например, AzureSAML_Admin_AuthProfile).

    

15. Нажмите кнопку "ОК".

16. Чтобы зафиксировать конфигурацию, нажмите кнопку "Зафиксировать".

Создать тестового пользователя в интерфейсе администратора Palo Alto Networks

Palo Alto Networks — интерфейс администратора поддерживает динамическое создание пользователей по мере необходимости. Если пользователь еще не существует, он автоматически создается в системе после успешной проверки подлинности. Для создания пользователя не требуется никаких действий.

Тестирование SSO

В этом разделе вы проверяете свою конфигурацию единого входа Microsoft Entra, используя следующие опции.

• Выберите "Тестировать это приложение", этот параметр перенаправляется на URL-адрес входа в Palo Alto Networks — URL-адрес входа в пользовательский интерфейс администратора, где можно инициировать поток входа.

• Перейдите по URL-адресу входа в пользовательский интерфейс администратора Palo Alto Networks и начните процесс входа оттуда.

• Вы можете использовать Microsoft My Apps. При выборе плитки Palo Alto Networks — Admin UI в разделе Мои приложения вы автоматически войдете в интерфейс Palo Alto Networks — Admin UI, для которого настроили единый вход. Дополнительные сведения о моих приложениях см. в разделе "Общие сведения о моих приложениях".

Связанный контент

После настройки Palo Alto Networks — пользовательский интерфейс администратора можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансами выходит за рамки условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.