Konfigurieren von Palo Alto Networks – Administratorbenutzeroberfläche für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie Palo Alto Networks – Administratorbenutzeroberfläche mit Microsoft Entra ID integrieren. Die Integration von Palo Alto Networks - Admin UI in Microsoft Entra ID ermöglicht Folgendes:

• Steuern in Microsoft Entra ID, wer Zugriff auf Palo Alto Networks - Admin UI besitzt.
• Benutzer können sich mit ihren Microsoft Entra-Konten automatisch bei Palo Alto Networks - Admin UI anmelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein Abonnement für Palo Alto Networks - Admin UI, für das einmaliges Anmelden aktiviert ist.
• Es ist eine Anforderung, dass der Dienst öffentlich verfügbar sein sollte. Weitere Informationen finden Sie auf dieser Seite.

Szenariobeschreibung

In diesem Artikel konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

• Palo Alto Networks - Admin UI unterstützt SP-initiiertes einmaliges Anmelden.
• Palo Alto Networks – Admin UI unterstützt Just-in-Time-Benutzerbereitstellung.

Hinzufügen von Palo Alto Networks - Admin UI aus dem Katalog

Zum Konfigurieren der Integration von Palo Alto Networks - Admin UI in Microsoft Entra ID müssen Sie Palo Alto Networks - Admin UI aus dem Katalog zur Liste mit den verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Palo Alto Networks - Admin UI in das Suchfeld ein.
4. Wählen Sie im Ergebnisbereich Palo Alto Networks - Admin UI aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra-SSO für Palo Alto Networks - Admin UI

In diesem Abschnitt konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit Palo Alto Networks - Admin UI anhand eines Testbenutzers mit dem Namen B. Simon. Für einmaliges Anmelden muss zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Palo Alto Networks - Admin UI eine Linkbeziehung eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit Palo Alto Networks - Admin UI die folgenden Schritte aus:

1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
2. Konfigurieren des einmaligen Anmeldens für Palo Alto Networks - Admin UI , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
   1. Erstellen Sie einen Testbenutzer für die Admin-Benutzeroberfläche von Palo Alto Networks - um ein Gegenstück zu B.Simon in der Palo Alto Networks-Admin-Benutzeroberfläche zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Palo Alto Networks – Admin-Benutzeroberfläche>Einmaliges Anmelden.

3. Auf der Seite Eine Single Sign-On-Methode auswählen wählen Sie SAML aus.

4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:

   a) Geben Sie im Feld Bezeichner eine URL im folgenden Format ein: https://<Customer Firewall FQDN>:443/SAML20/SP.

   b. Geben Sie im Textfeld Antwort-URL die Assertionsverbraucherdienst-URL (Assertion Consumer Service, ACS) im folgenden Format ein: https://<Customer Firewall FQDN>:443/SAML20/SP/ACS

   Abschnitt c. Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<Customer Firewall FQDN>/php/login.php

   Hinweis

   Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Wenden Sie sich an das Supportteam für den Palo Alto Networks - Admin UI-Client, um diese Werte zu erhalten. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

   Port 443 ist für den Bezeichner und die Antwort-URL erforderlich, da diese Werte in der Palo Alto-Firewall hartcodiert sind. Wenn die Portnummer entfernt wird, tritt bei der Anmeldung ein Fehler auf.

   Port 443 ist für den Bezeichner und die Antwort-URL erforderlich, da diese Werte in der Palo Alto-Firewall hartcodiert sind. Wenn die Portnummer entfernt wird, tritt bei der Anmeldung ein Fehler auf.

6. Die Anwendung Palo Alto Networks – Admin UI erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

   

   Hinweis

   Bei den Attributwerten handelt es sich nur um Beispiele. Sie müssen die entsprechenden Werte für username und adminrole zuordnen. Es gibt ein weiteres optionales Attribut, accessdomain, das verwendet wird, um den Administratorzugriff auf bestimmte virtuelle Systeme in der Firewall einzuschränken.

7. Darüber hinaus wird von der Anwendung Palo Alto Networks – Admin UI erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

   Name	Quellenattribut
   Benutzername	benutzer.benutzerhauptname
   Administratorrolle	customadmin

   Hinweis

   Der Wert Name, der oben als adminrole angezeigt wird, sollte mit dem Wert von Admin role attribute (Administratorrollenattribut) übereinstimmen, der in Schritt 12 des Abschnitts Konfigurieren des einmaligen Anmeldens für Palo Alto Networks – Admin UI konfiguriert wurde. Der oben als customadmin dargestellte Quellattributewert sollte derselbe Wert wie der Administratorrollenprofilname sein, der in Schritt 9 des Abschnitts "Configure Palo Alto Networks – Admin UI SSO" konfiguriert ist.

   Hinweis

   Weitere Informationen zu den Attributen finden Sie in den folgenden Artikeln:

   • Administrative role profile for Admin UI (adminrole) (Administratorrollenprofil für Admin UI – adminrole)
   • Device access domain for Admin UI (accessdomain) (Gerätezugriffsdomäne für Admin UI – accessdomain)

8. Wählen Sie auf der Seite "Einzelne Sign-On mit SAML einrichten" im Abschnitt "SAML-Signaturzertifikat" die Option "Herunterladen" aus, um das Federation Metadata XML aus den angegebenen Optionen gemäß Ihren Anforderungen herunterzuladen und auf Ihrem Computer zu speichern.

   

9. Kopieren Sie im Abschnitt Palo Alto Networks - Admin UI einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

   

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für Palo Alto Networks - Admin UI

1. Öffnen Sie als Administrator in einem neuen Fenster die Administratoroberfläche für die Palo Alto Networks-Firewall.

2. Klicken Sie auf die Registerkarte Device (Gerät).

   

3. Wählen Sie im linken Bereich SAML Identity Provider (SAML-Identitätsanbieter) aus, und klicken Sie anschließend auf Import (Importieren), um die Metadatendatei zu importieren.

   

4. Führen Sie im Fenster SAML Identity Provider Server Profile Import (Import des SAML-Identitätsanbieter-Serverprofils) die folgenden Schritte aus:

   

   a) Geben Sie im Feld Profile Name (Profilname) einen Namen ein (z. B. Microsoft Entra Admin UI).

   b. Klicken Sie unter Identity Provider Metadata (Identitätsanbieter-Metadaten) auf Browse (Durchsuchen), und wählen Sie die Datei „metadata.xml“ aus, die Sie zuvor heruntergeladen haben.

   Abschnitt c. Deaktivieren Sie das Kontrollkästchen Validate Identity Provider Certificate (Zertifikat des Identitätsanbieters überprüfen).

   d. Wählen Sie OK aus.

   e. Committen Sie die Konfigurationen der Firewall, indem Sie auf die Schaltfläche Commit (Committen) klicken.

5. Wählen Sie im linken Bereich SAML Identity Provider (SAML-Identitätsanbieter) und anschließend das SAML-Identitätsanbieterprofil (z. B. Microsoft Entra Admin UI) aus, das Sie im vorherigen Schritt erstellt haben.

   

6. Führen Sie im Fenster SAML Identity Provider Server Profile (SAML-Identitätsanbieter-Serverprofil) die folgenden Schritte aus:

   

   a) Ersetzen Sie im Feld Identity Provider SLO URL (SLO-URL des Identitätsanbieters) die zuvor importierte SLO-URL durch die folgende URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

   b. Wählen Sie OK aus.

7. Klicken Sie auf der Administratoroberfläche für die Palo Alto Networks-Firewall auf Device (Gerät) und dann auf Admin Roles (Administratorrollen).

8. Wählen Sie die Schaltfläche Hinzufügen aus.

9. Geben Sie im Fenster Admin Role Profile (Administratorrollenprofil) einen Namen für die Administratorrolle in das Feld Name ein (z. B. fwadmin). Der Administratorrollenname sollte mit dem vom Identitätsanbieter gesendeten Attributnamen für die SAML-Administratorrolle identisch sein. Der Name und Wert der Administratorrolle wurden im Abschnitt Benutzerattribute erstellt.

   

10. Klicken Sie auf der Administratoroberfläche der Firewall auf Device (Gerät) und dann auf Authentication Profile (Authentifizierungsprofil).

11. Wählen Sie die Schaltfläche Hinzufügen aus.

12. Führen Sie im Fenster Authentication Profile (Authentifizierungsprofil) die folgenden Schritte aus:

    

    a) Geben Sie im Feld Name einen Namen ein (z. B. AzureSAML_Admin_AuthProfile).

    b. Wählen Sie in der Dropdownliste Type (Typ) den Eintrag SAML aus.

    Abschnitt c. Wählen Sie in der Dropdownliste IdP Server Profile (IdP-Serverprofil) das entsprechende SAML-Identitätsanbieter-Serverprofil aus (z. B. Microsoft Entra Admin UI).

    d. Aktivieren Sie das Kontrollkästchen Enable Single Logout (Einmaliges Abmelden aktivieren).

    e. Geben Sie im Feld Admin Role Attribute (Administratorrollenattribut) den Attributnamen ein (z. B. adminrole).

    f. Klicken Sie auf die Registerkarte Advanced (Erweitert) und dann unter Allow List (Liste „Zulassen) auf Add (Hinzufügen).

    

    g. Aktivieren Sie das Kontrollkästchen All (Alle), oder wählen Sie die Benutzer und Gruppen aus, die sich mit diesem Profil authentifizieren können.
    Bei der Authentifizierung eines Benutzers gleicht die Firewall den zugewiesenen Benutzernamen bzw. die zugewiesene Gruppe mit den Einträgen in der Liste ab. Wenn Sie keine Einträge hinzufügen, können sich keine Benutzer authentifizieren.

    h. Wählen Sie OK aus.

13. Um Administratoren die Verwendung von SAML-SSO mit Azure zu ermöglichen, klicken Sie auf Device>Setup (Gerät > Einrichten). Klicken Sie im Bereich Setup (Einrichten) auf die Registerkarte Management (Verwaltung) und dann unter Authentication Settings (Authentifizierungseinstellungen) auf die Schaltfläche mit dem Zahnradsymbol (Einstellungen).

    

14. Wählen Sie das SAML-Authentifizierungsprofil aus, das Sie im Fenster „Authentifizierungsprofil“ erstellt haben (z.B. AzureSAML_Admin_AuthProfile).

    

15. Wählen Sie OK aus.

16. Klicken Sie zum Committen der Konfiguration auf Commit (Committen).

Erstellen eines Palo Alto Networks - Admin UI-Testbenutzers

Palo Alto Networks – Admin UI unterstützt die Just-in-Time-Benutzerbereitstellung. Wenn ein Benutzer noch nicht vorhanden ist, wird er nach einer erfolgreichen Authentifizierung automatisch im System erstellt. Zum Erstellen des Benutzers ist keine Aktion Ihrerseits erforderlich.

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

• Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet zu Palo Alto Networks um – Anmelde-URL der Administratorbenutzeroberfläche, über die Sie den Anmeldefluss initiieren können.

• Rufen Sie direkt die Anmelde-URL für Palo Alto Networks - Admin UI auf, und initiieren Sie den Anmeldeflow.

• Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Kachel "Palo Alto Networks – Administratorbenutzeroberfläche" in den "Meine Apps" auswählen, sollten Sie automatisch bei der Palo Alto Networks - Administratorbenutzeroberfläche angemeldet sein, für die Sie das SSO einrichten. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Verwandte Inhalte

Nach dem Konfigurieren von Palo Alto Networks – Admin UI können Sie eine Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.