Kurz: Integrace jednotného přihlašování Microsoft Entra s Palo Alto Networks – Správa ui

V tomto kurzu se dozvíte, jak integrovat Palo Alto Networks – Správa uživatelské rozhraní s Id Microsoft Entra. Když integrujete Palo Alto Networks – uživatelské rozhraní Správa s ID Microsoft Entra, můžete:

• Řízení v Microsoft Entra ID, který má přístup k Palo Alto Networks – Správa uživatelské rozhraní.
• Povolte uživatelům automatické přihlášení k Palo Alto Networks – Správa uživatelské rozhraní s jejich účty Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

• Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
• Palo Alto Networks – Správa předplatné s povoleným jednotným přihlašováním k uživatelskému rozhraní
• Je to požadavek, aby služba měla být veřejná. Další informace najdete na této stránce.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

• Palo Alto Networks – uživatelské rozhraní Správa podporuje jednotné přihlašování iniciované aktualizací SP.
• Palo Alto Networks – uživatelské rozhraní Správa podporuje zřizování uživatelů za běhu.

Přidání Palo Alto Networks – uživatelské rozhraní Správa z galerie

Pokud chcete nakonfigurovat integraci Palo Alto Networks – Správa ui do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat palo Alto Networks – Správa uživatelské rozhraní z galerie.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
3. V části Přidat z galerie zadejte do vyhledávacího pole palo Alto Networks – Správa uživatelské rozhraní.
4. Vyberte Palo Alto Networks – Správa uživatelské rozhraní na panelu výsledků a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro Palo Alto Networks – uživatelské rozhraní Správa

V této části nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra pomocí Palo Alto Networks – Správa uživatelské rozhraní založené na testovacím uživateli s názvem B.Simon. Aby jednotné přihlašování fungovalo, je potřeba vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v Palo Alto Networks – Správa uživatelské rozhraní.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra pomocí Palo Alto Networks – Správa uživatelské rozhraní, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
   1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
   2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Konfigurace jednotného přihlašování Palo Alto Networks – Správa jednotného přihlašování – pro konfiguraci nastavení jednotného přihlašování na straně aplikace.
   1. Vytvoření palo Alto Networks – Správa testovacího uživatele uživatelského rozhraní – aby měl protějšk B.Simon v Palo Alto Networks – Správa uživatelské rozhraní, které je propojené s reprezentací uživatele Microsoft Entra.
3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím>Identity>Applications>Palo Alto Networks – Správa jednotné přihlašování uživatelského rozhraní.>

3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

5. V části Základní konfigurace SAML proveďte následující kroky:

   a. Do pole Identifikátor zadejte adresu URL pomocí následujícího vzoru:https://<Customer Firewall FQDN>:443/SAML20/SP

   b. Do textového pole Adresa URL odpovědi zadejte adresu URL služby Assertion Consumer Service (ACS) v následujícím formátu: https://<Customer Firewall FQDN>:443/SAML20/SP/ACS

   c. Do textového pole Přihlašovací adresa URL zadejte adresu URL pomocí následujícího vzoru: https://<Customer Firewall FQDN>/php/login.php

   Poznámka:

   Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a přihlašovací adresou URL. Kontaktujte Palo Alto Networks – Správa tým podpory klienta uživatelského rozhraní a získejte tyto hodnoty. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.

   Port 443 se vyžaduje u identifikátoru a adresy URL odpovědi, protože tyto hodnoty jsou pevně zakódované do brány firewall Palo Alto. Odebráním čísla portu dojde při přihlášení k chybě, pokud se odebere.

   Port 443 se vyžaduje u identifikátoru a adresy URL odpovědi, protože tyto hodnoty jsou pevně zakódované do brány firewall Palo Alto. Odebráním čísla portu dojde při přihlášení k chybě, pokud se odebere.

6. Aplikace uživatelského rozhraní Palo Alto Networks – Správa očekává kontrolní výrazy SAML v určitém formátu, což vyžaduje přidání mapování vlastních atributů na konfiguraci atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů.

   

   Poznámka:

   Protože hodnoty atributů jsou pouze příklady, namapujte příslušné hodnoty pro uživatelské jméno a správce. Existuje další volitelný atribut, doména accessdomain, která slouží k omezení přístupu správce ke konkrétním virtuálním systémům v bráně firewall.

7. Kromě výše uvedeného očekává aplikace Palo Alto Networks – Správa ui několik dalších atributů, které se předávají zpět v odpovědi SAML, které jsou uvedeny níže. Tyto atributy jsou také předem vyplněné, ale můžete je zkontrolovat podle svých požadavků.

   Název	Zdrojový atribut
   username	user.userprincipalname
   adminrole	customadmin

   Poznámka:

   Hodnota Název, která je uvedená výše jako role správce, by měla být stejná jako atribut role Správa, který je nakonfigurovaný v kroku 12 konfigurace jednotného přihlašování Palo Alto Networks – Správa SSO uživatelského rozhraní. Hodnota Zdrojového atributu, která je uvedená výše jako customadmin, by měla být stejná jako název profilu role Správa, který je nakonfigurovaný v kroku 9 části Konfigurace jednotného přihlašování palo Alto Networks – Správa SSO uživatelského rozhraní.

   Poznámka:

   Další informace o atributech najdete v následujících článcích:

   • Správa istrativní profil role pro uživatelské rozhraní Správa (adminrole)
   • Doména přístupu zařízení pro uživatelské rozhraní Správa (accessdomain)

8. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte v části Podpisový certifikát SAML na tlačítko Stáhnout a stáhněte xml federačních metadat z uvedených možností podle vašeho požadavku a uložte ho do počítače.

   

9. V části Nastavit Palo Alto Networks – Správa uživatelské rozhraní zkopírujte odpovídající adresy URL podle vašeho požadavku.

   

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
4. Ve vlastnostech uživatele postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
   4. Vyberte Zkontrolovat a vytvořit.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k Palo Alto Networks – Správa uživatelské rozhraní.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím>Identity>Applications>Palo Alto Networks – Správa uživatelské rozhraní.
3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
   1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
   2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
   3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování palo Alto Networks – jednotné přihlašování k uživatelskému rozhraní Správa

1. Otevřete uživatelské rozhraní brány firewall Palo Alto Networks Správa jako správce v novém okně.

2. Vyberte kartu Zařízení.

   

3. V levém podokně vyberte zprostředkovatele identity SAML a pak vyberte Importovat a naimportujte soubor metadat.

   

4. V okně Import profilu zprostředkovatele identity serveru SAML proveďte následující kroky:

   

   a. Do pole Název profilu zadejte název (například uživatelské rozhraní Microsoft Entra Správa).

   b. V části Metadata zprostředkovatele identity vyberte Procházet a vyberte soubor metadata.xml, který jste stáhli dříve.

   c. Zrušte zaškrtnutí políčka Ověřit certifikát zprostředkovatele identity.

   d. Vyberte OK.

   e. Pokud chcete konfigurace potvrdit v bráně firewall, vyberte Potvrdit.

5. V levém podokně vyberte zprostředkovatele identity SAML a pak vyberte profil zprostředkovatele identity SAML (například uživatelské rozhraní Microsoft Entra Správa), které jste vytvořili v předchozím kroku.

   

6. V okně Profil zprostředkovatele identity SAML postupujte takto:

   

   a. V poli Adresa URL SLO zprostředkovatele identity nahraďte dříve importovanou adresu URL SLO následující adresou URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

   b. Vyberte OK.

7. V uživatelském rozhraní brány firewall Palo Alto Networks Správa vyberte Zařízení a pak vyberte Správa Role.

8. Vyberte tlačítko Přidat.

9. V okně profilu role Správa zadejte do pole Název název roli správce (například fwadmin). Název role správce by měl odpovídat názvu atributu role SAML Správa, který odeslal zprostředkovatel identity. Název a hodnota role správce byly vytvořeny v části Atributy uživatele.

   

10. V uživatelském rozhraní brány firewall Správa vyberte Zařízení a pak vyberte Ověřovací profil.

11. Vyberte tlačítko Přidat.

12. V okně Profil ověřování postupujte takto:

    

    a. Do pole Název zadejte název (například AzureSAML_Správa_AuthProfile).

    b. V rozevíracím seznamu Typ vyberte SAML.

    c. V rozevíracím seznamu Profil serveru IDP vyberte příslušný profil serveru zprostředkovatele identity SAML (například uživatelské rozhraní Microsoft Entra Správa).

    d. Zaškrtněte políčko Povolit jeden odhlášení.

    e. Do pole Správa Atribut role zadejte název atributu (například adminrole).

    f. Vyberte kartu Upřesnit a pak v části Seznam povolených vyberte Přidat.

    

    g. Zaškrtněte políčko Všechny nebo vyberte uživatele a skupiny, které se můžou ověřit pomocí tohoto profilu.
    Když se uživatel ověří, brána firewall odpovídá přidruženému uživatelskému jménu nebo skupině s položkami v tomto seznamu. Pokud položky nepřidáte, nemůžou se ověřit žádní uživatelé.

    h. Vyberte OK.

13. Pokud chcete správcům povolit používání jednotného přihlašování SAML pomocí Azure, vyberte Nastavení zařízení>. V podokně Nastavení vyberte kartu Správa a pak v části Ověřování Nastavení vyberte tlačítko Nastavení (ozubené kolo).

    

14. Vyberte profil ověřování SAML, který jste vytvořili v okně ověřovacího profilu (například AzureSAML_Správa_AuthProfile).

    

15. Vyberte OK.

16. Konfiguraci potvrdíte tak, že vyberete Potvrdit.

Vytvoření Palo Alto Networks – Správa testovací uživatel uživatelského rozhraní

Palo Alto Networks – uživatelské rozhraní Správa podporuje zřizování uživatelů za běhu. Pokud uživatel ještě neexistuje, vytvoří se automaticky v systému po úspěšném ověření. K vytvoření uživatele se nevyžaduje žádná akce.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

• Klikněte na Otestovat tuto aplikaci, tím se přesměruje na adresu URL pro přihlášení k Palo Alto Networks – Správa přihlašovací adresu URL, kde můžete zahájit tok přihlášení.

• Přejděte na Palo Alto Networks – Správa přihlašovací adresu URL uživatelského rozhraní přímo a spusťte tok přihlášení odtud.

• Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici Palo Alto Networks – Správa ui v Moje aplikace, měli byste být automaticky přihlášení k uživatelskému rozhraní Palo Alto Networks – Správa uživatelské rozhraní, pro které jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete Palo Alto Networks – Správa uživatelské rozhraní, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.