Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, aprenderá a integrar Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service con Microsoft Entra ID. Al integrar Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service con Microsoft Entra ID, puede:
- Controlar en Microsoft Entra ID quién tiene acceso a Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service.
- Permitir que los usuarios inicien sesión automáticamente en Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Prerrequisitos
En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:
- Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
- Uno de los siguientes roles:
- Suscripción con inicio de sesión único (SSO) en Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service.
Descripción del escenario
En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.
Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service admite SSO iniciado con SP.
Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service admite aprovisionamiento de usuarios Just-In-time.
Incorporación de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service desde la galería
Para configurar la integración de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service en Microsoft Entra ID, debe agregar Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.
- Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service en el cuadro de búsqueda.
- Seleccione Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega a su arrendatario.
Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Obtén más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service
Configure y pruebe el inicio de sesión único de Microsoft Entra con Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service con un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service.
Para configurar y probar el inicio de sesión único de Microsoft Entra con Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service, siga estos pasos:
-
Configura Microsoft Entra SSO para permitir que tus usuarios usen esta característica.
- Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
-
Configure el inicio de sesión único de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service , para configurar los valores de inicio de sesión único en la aplicación.
- Creación de un usuario de prueba de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service , para tener un homólogo de B.Simon en Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service que esté vinculado a la representación del usuario en Microsoft Entra.
- Prueba SSO – para comprobar si la configuración funciona.
Configurar el SSO de Microsoft Entra
Siga estos pasos para activar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.
Vaya a Entra ID>Aplicaciones empresariales>Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configurar inicio de sesión único con SAML, seleccione el icono de lápiz para Configuración básica SAML y edite la configuración.
En la sección Configuración básica de SAML, si tiene el archivo de metadatos del proveedor de servicios, lleve a cabo los siguientes pasos:
a) Seleccione Cargar archivo de metadatos.
b. Seleccione el logotipo de la carpeta para seleccionar el archivo de metadatos y seleccione Cargar.
c. Una vez cargado correctamente el archivo de metadatos, el valor del identificador se rellena automáticamente en la sección Configuración básica de SAML.
d. En el cuadro de texto URL para iniciar sesión, escriba una dirección URL con el siguiente patrón:
https://<RegionUrl>.paloaltonetworks.com/sp/acsNota:
Si el valor identificador no se rellena automáticamente, rellene el valor manualmente según sus necesidades. El valor de la dirección URL de inicio de sesión no es real. Actualícelo con la dirección URL de inicio de sesión real. Póngase en contacto con el equipo de soporte técnico de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service para obtener este valor. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.
La aplicación Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service espera que las aserciones de SAML estén en un formato específico, lo cual requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. En la captura de pantalla siguiente se muestra la lista de atributos predeterminados.
Además de lo anterior, la aplicación Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service espera que se devuelvan algunos atributos más, que se muestran a continuación, en la respuesta de SAML. Estos atributos también se rellenan previamente, pero puede revisarlos según sus requisitos.
Nombre Atributo de origen Grupo grupos de usuario nombre de usuario usuario.nombrePrincipalDelUsuario En la página Configurar el inicio de sesión único con SAML , en la sección Certificado de firma de SAML , seleccione el botón Copiar para copiar la dirección URL de metadatos de federación de la aplicación y guárdela en el equipo.
Creación y asignación de un usuario de prueba de Microsoft Entra
Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.
Configuración del inicio de sesión único de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service
Inicie sesión en el sitio de la compañía Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service como administrador.
Vaya a Autenticación>Proveedores de Identidad y seleccione Agregar Proveedor de Identidad.
En la página Configurar autenticación SAML, siga estos pasos.
a) En el paso 1, seleccione Descargar metadatos de SP para descargar el archivo de metadatos y guardarlo en el equipo.
b. En el paso 2, rellene los campos obligatorios para configurar el perfil del proveedor de identidades que copió anteriormente.
c. En el paso 3, seleccione Probar configuración de SAML para comprobar la configuración del perfil y seleccione MFA habilitado en el IDP.
Nota:
Para probar el inicio de sesión único de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service, abra la consola de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service, seleccione el botón Probar conexión y autentíquese con la cuenta de prueba que ha creado en la sección Crear un usuario de prueba de Microsoft Entra.
d. En el paso 4, escriba el ATRIBUTO USERNAME y seleccione Enviar.
Creación de un usuario de prueba de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service
En esta sección, se crea un usuario llamado Britta Simon en Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service. Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service admite aprovisionamiento de usuarios just-in-time, que está habilitado de forma predeterminada. No hay ningún elemento de acción para usted en esta sección. Si un usuario no existe aún en Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service, se crea después de la autenticación.
Prueba de SSO
Para probar el inicio de sesión único de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service, abra la consola de Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service, seleccione el botón Probar conexión y autentíquese con la cuenta de prueba que ha creado en la sección Crear un usuario de prueba de Microsoft Entra.
Contenido relacionado
Una vez configurado Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión se extiende desde el acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.