Интеграция Microsoft Entra с Palo Alto Networks — Aperture

Из этой статьи вы узнаете, как интегрировать Palo Alto Networks — Aperture с идентификатором Microsoft Entra. Когда вы интегрируете Palo Alto Networks – Aperture с Microsoft Entra ID, вы можете:

• Контролируйте, кто имеет доступ к Palo Alto Networks - Aperture, с помощью Microsoft Entra ID.
• Включите автоматический вход пользователей в Palo Alto Networks — Aperture с помощью учетных записей Microsoft Entra.
• Управляйте своими аккаунтами централизованно.

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете бесплатно создать учетную запись.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • Владелец приложения.

• Подписка Palo Alto Networks — Aperture с поддержкой единого входа (SSO).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Palo Alto Networks — Aperture поддерживает SSO, инициированный SP и IDP.

Добавьте Palo Alto Networks — Aperture из галереи

Чтобы настроить интеграцию Palo Alto Networks — Aperture с идентификатором Microsoft Entra ID, необходимо добавить Palo Alto Networks — Aperture из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к Entra ID>Корпоративные приложения>Новое приложение.
3. В разделе "Добавление из коллекции " введите Palo Alto Networks — Aperture в поле поиска.
4. Выберите Palo Alto Networks — Aperture на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш арендный объект.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra

В этом разделе описана настройка и проверка единого входа Microsoft Entra в Palo Alto Networks — Aperture на основе тестового пользователя B.Simon. Чтобы единый вход работал, необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Palo Alto Networks — Aperture.

Чтобы настроить и проверить единый вход Microsoft Entra в Palo Alto Networks — Aperture, выполните следующие действия.

1. Настройте единый вход Microsoft Entra , чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
   2. Назначьте тестового пользователя Microsoft Entra , чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
2. Настройте единый вход (SSO) Palo Alto Networks — Aperture, чтобы настроить параметры единого Sign-On на стороне приложения.
   1. Создайте тестового пользователя в Palo Alto Networks — Aperture, чтобы иметь аналог Брита Симон в Palo Alto Networks — Aperture, связанного с представлением пользователя в Microsoft Entra.
3. Тест SSO — чтобы проверить, работает ли конфигурация.

Настройте SSO в Microsoft Entra

Выполните следующие действия, чтобы активировать Microsoft Entra SSO.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к Entra ID>корпоративные приложения>Palo Alto Networks — Aperture>Единый вход.

3. На странице "Выбор метода единого входа" выберите SAML.

4. На странице "Настройка единого входа" на странице SAML выберите значок карандаша для базовой конфигурации SAML , чтобы изменить параметры.

   

5. В разделе "Базовая конфигурация SAML" если вы хотите настроить приложение в режиме, инициируемом удостоверяющим центром, выполните следующие действия.

   a. В текстовом поле "Идентификатор" введите URL-адрес, используя следующий шаблон: https://<subdomain>.aperture.paloaltonetworks.com/d/users/saml/metadata

   б. В текстовом поле "URL-адрес ответа" введите URL-адрес, используя следующий шаблон: https://<subdomain>.aperture.paloaltonetworks.com/d/users/saml/auth

6. Выберите "Задать дополнительные URL-адреса " и выполните следующий шаг, если вы хотите настроить приложение в режиме, инициированном поставщиком служб :

   В текстовом поле URL-адреса входа введите URL-адрес, используя следующий шаблон: https://<subdomain>.aperture.paloaltonetworks.com/d/users/saml/sign_in

   Примечание.

   Эти значения не являются реальными. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Palo Alto Networks — Aperture . Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML ".

7. На странице "Настройка единого Sign-On с помощью SAML" в разделе "Сертификат подписи SAML " выберите "Скачать ", чтобы скачать сертификат (Base64) из указанных параметров в соответствии с вашим требованием и сохранить его на компьютере.

   

8. В разделе "Настройка Palo Alto Networks - Aperture " скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

   

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в разделе быстрого начала по созданию и назначению учетной записи, чтобы создать тестовую учетную запись для пользователя B.Simon.

Настройка Palo Alto Networks — SSO (единого входа) в Aperture

1. В другом окне веб-браузера войдите в Palo Alto Networks — Aperture в качестве администратора.

2. В верхней строке меню выберите ПАРАМЕТРЫ.

   

3. Перейдите в раздел APPLICATION, выберите Проверка подлинности в левой части меню.

   

4. На странице проверки подлинности выполните следующие действия:

   

   a. Проверьте включение Единого Входа (поддерживаемые поставщики SSP — Okta, OneLogin) в поле Единый Вход.

   б. В текстовое поле ID поставщика удостоверений вставьте значение идентификатора Microsoft Entra.

   с. Выберите «Выбрать файл», чтобы загрузить скачанный сертификат из Microsoft Entra ID в поле «Сертификат поставщика удостоверений».

   д. В текстовое поле URL поставщика удостоверений для единого входа вставьте значение из URL входа.

   д) Просмотрите сведения об идентификаторах поставщиков из раздела Aperture Info и скачайте сертификат из поля Aperture Key.

   е) Нажмите кнопку "Сохранить".

Создание тестового пользователя Palo Alto Networks — Aperture

В этом разделе описано, как создать пользователя Britta Simon в Palo Alto Networks — Aperture. Обратитесь к группе поддержки клиентов Palo Alto Networks — Aperture , чтобы добавить пользователей на платформу Palo Alto Networks — Aperture. Перед использованием единого входа необходимо создать и активировать пользователей.

Тестирование SSO

В этом разделе вы проверяете свою конфигурацию единого входа Microsoft Entra, используя следующие опции.

Инициировано Поставщиком Услуг

• Выберите "Тестировать это приложение", эта опция перенаправляет на URL-адрес входа Aperture от Palo Alto Networks, где можно инициировать поток входа.

• Перейдите по URL-адресу для входа в Palo Alto Networks - Aperture и начните процесс авторизации оттуда.

Инициатор IDP:

• Выберите "Тестировать это приложение", и вы автоматически войдете в приложение Palo Alto Networks - Aperture, для которого настроили единый вход

Вы также можете использовать Microsoft My Apps для тестирования приложения в любом режиме. При выборе плитки Palo Alto Networks — Aperture в разделе "Мои приложения", если приложение настроено в режиме SP, вы будете перенаправлены на страницу входа для инициации потока входа; если настроено в режиме поставщика удостоверений (IDP), вы автоматически войдете в приложение Palo Alto Networks — Aperture, для которого настроили единый вход (SSO). Дополнительные сведения о моих приложениях см. в разделе "Общие сведения о моих приложениях".

Связанный контент

После настройки Palo Alto Networks — Aperture вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансами выходит за рамки условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.