Configuración de Palo Alto Networks- Admin UI for Single sign-on with Microsoft Entra ID (Configuración de Palo Alto Networks: interfaz de usuario de administrador para el inicio de sesión único con Microsoft Entra ID)

En este artículo, aprenderá a integrar Palo Alto Networks - Admin UI con Microsoft Entra ID. Al integrar Palo Alto Networks - Admin UI con Microsoft Entra ID, puede hacer lo siguiente:

• Controlar en Microsoft Entra ID quién tiene acceso a Palo Alto Networks - Admin UI.
• Permitir que los usuarios inicien sesión automáticamente en Palo Alto Networks - Admin UI con sus cuentas de Microsoft Entra.
• Administre sus cuentas en una ubicación central.

Prerrequisitos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

• Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
• Uno de los siguientes roles:
  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Propietario de la aplicación.

• Una suscripción habilitada para el inicio de sesión único en Palo Alto Networks - Admin UI.
• Es un requisito que el servicio debe estar disponible públicamente. Consulte esta página para obtener más información.

Descripción del escenario

En este artículo, configurará y probará el inicio de sesión único de Microsoft Entra en un entorno de prueba.

• Palo Alto Networks - Admin UI admite el inicio de sesión único iniciado por SP.
• Palo Alto Networks - Admin UI admite el aprovisionamiento de usuarios Just-In-Time.

Agregación de Palo Alto Networks: interfaz de usuario de administración

Para configurar la integración de Palo Alto Networks - Admin UI en Microsoft Entra ID, es preciso agregar Palo Alto Networks - Admin UI desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.
2. Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería, escriba Palo Alto Networks: Admin UI en el cuadro de búsqueda.
4. Seleccione Palo Alto Networks: Admin UI en el panel de resultados y, a continuación, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega a su arrendatario.

Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Obtén más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra en Palo Alto Networks - Admin UI

En esta sección, configurará y probará el inicio de sesión único de Microsoft Entra con Palo Alto Networks - Admin UI con un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es preciso establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Palo Alto Networks - Admin UI.

Para configurar y probar el inicio de sesión único de Microsoft Entra con Palo Alto Networks - Admin UI, siga estos pasos:

1. Configura Microsoft Entra SSO para permitir que tus usuarios usen esta característica.
   1. Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
   2. Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
2. Configuración del inicio de sesión único de Palo Alto Networks: Admin UI: para configurar los valores de inicio de sesión único en la aplicación.
   1. Creación de un usuario de prueba de Palo Alto Networks - Admin UI : para tener un homólogo de B.Simon en Palo Alto Networks - Admin UI que esté vinculado a la representación del usuario en Microsoft Entra.
3. Prueba SSO – para comprobar si la configuración funciona.

Configurar el SSO de Microsoft Entra

Siga estos pasos para activar el SSO de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.

2. Vaya a Entra ID>Aplicaciones empresariales>Palo Alto Networks - Admin UI>Inicio de sesión único.

3. En la página Seleccione un método de inicio de sesión único, elija SAML.

4. En la página Configurar inicio de sesión único con SAML, seleccione el icono de lápiz para Configuración básica SAML y edite la configuración.

   

5. En la sección Configuración básica de SAML, siga estos pasos:

   a) En el cuadro de texto Identificador, escriba una dirección URL con el siguiente patrón: https://<Customer Firewall FQDN>:443/SAML20/SP

   b. En el cuadro de texto Dirección URL de respuesta, escriba la dirección URL del Servicio de consumidor de aserciones (ACS) con el siguiente formato: https://<Customer Firewall FQDN>:443/SAML20/SP/ACS

   c. En el cuadro de texto URL para iniciar sesión, escriba una dirección URL con el siguiente patrón: https://<Customer Firewall FQDN>/php/login.php

   Nota:

   Estos valores no son reales. Actualice estos valores con el identificador real, la dirección URL de respuesta y la dirección URL de inicio de sesión. Póngase en contacto con el equipo de soporte técnico del cliente de Palo Alto Networks: interfaz de usuario de administración para obtener estos valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.

   El puerto 443 es necesario en los campos Identificador y Dirección URL de respuesta, ya que estos valores están codificados de forma rígida en el firewall de Palo Alto. Si se quita el número de puerto, se produce un error durante el inicio de sesión.

   El puerto 443 es necesario en los campos Identificador y Dirección URL de respuesta, ya que estos valores están codificados de forma rígida en el firewall de Palo Alto. Si se quita el número de puerto, se produce un error durante el inicio de sesión.

6. La aplicación Palo Alto Networks - Admin UI espera las aserciones de SAML en un formato específico, que requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. En la captura de pantalla siguiente se muestra la lista de atributos predeterminados.

   

   Nota:

   Como los valores de atributo son solo ejemplos, asigne los valores adecuados para username y adminrole. Hay otro atributo opcional, accessdomain, que se usa para restringir el acceso de administrador a sistemas virtuales específicos en el firewall.

7. Además de lo anterior, la aplicación Palo Alto Networks - Admin UI espera que se devuelvan algunos atributos más, que se muestran a continuación, en la respuesta de SAML. Estos atributos también se rellenan previamente, pero puede revisarlos según sus requisitos.

   Nombre	Atributo de origen
   nombre de usuario	user.userprincipalname
   adminrole	customadmin

   Nota:

   El valor de Nombre, que se muestra más arriba como adminrole, debe ser el mismo valor que para el atributo de rol de administrador configurado en el paso 12 de la sección Configuración del inicio de sesión único de Palo Alto Networks - Admin UI. El valor atributo de origen, que se muestra anteriormente como customadmin, debe ser el mismo valor que el nombre del perfil de rol de administrador, que se configura en el paso 9 de la sección Configurar Palo Alto Networks - Admin UI SSO .

   Nota:

   Para más información sobre los atributos, consulte los siguientes artículos:

   • Perfil de rol administrativo de Admin UI (adminrole)
   • Dominio de acceso de dispositivo para Admin UI (accessdomain)

8. En la página Configurar Single Sign-On con SAML, en la sección Certificado de firma de SAML, seleccione Descargar para descargar el Federation Metadata XML desde las opciones disponibles según sus necesidades y guardarlo en su equipo.

   

9. En la sección Configurar Palo Alto Networks - Admin UI, copie las direcciones URL que necesite.

   

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.

Configuración del inicio de sesión único de Palo Alto Networks: Admin UI

1. Abra la interfaz de usuario de administración del firewall de Palo Alto Networks como administrador en una nueva ventana.

2. Seleccione la pestaña Dispositivo .

   

3. En el panel izquierdo, seleccione SAML Identity Provider (Proveedor de identidades de SAML) y, luego, seleccione Import (Importar) para importar el archivo de metadatos.

   

4. En la ventana SAML Identify Provider Server Profile Import (Importación del perfil de servidor del proveedor de identidades de SAML), haga lo siguiente:

   

   a) En el cuadro Nombre del perfil, proporcione un nombre (por ejemplo, Microsoft Entra Admin UI).

   b. En Metadatos del proveedor de identidades, seleccione Examinar y elija el archivo metadata.xml que ha descargado anteriormente.

   c. Desactive la casilla Validate Identity Provider Certificate (Validar certificado de proveedor de identidades).

   d. Selecciona Aceptar.

   e. Para confirmar las configuraciones en el firewall, seleccione Commit (Confirmar).

5. En el panel izquierdo, seleccione Proveedor de identidades de SAML y elija el perfil del proveedor de identidades de SAML (por ejemplo, Microsoft Entra Admin UI) que creó en el paso anterior.

   

6. En la ventana SAML Identity Provider Server Profile (Perfil de servidor del proveedor de identidades de SAML), realice lo siguiente:

   

   a) En el cuadro Identity Provider SLO URL (Dirección URL de SLO del proveedor de identidades), sustituya la dirección URL de SLO importada anteriormente y agregue la siguiente dirección URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

   b. Selecciona Aceptar.

7. En la interfaz de usuario del firewall de Palo Alto Networks, seleccione Device (Dispositivo) y elija Admin Roles (Roles de administrador).

8. Selecciona el botón Agregar.

9. En la ventana Admin Role Profile (Perfil de rol de administrador), en el cuadro Name (Name), proporcione un nombre para el rol de administrador (por ejemplo, fwadmin). El nombre del rol de administrador debe coincidir con el nombre de atributo del rol de administrador de SAML enviado por el proveedor de identidades. El nombre de rol de administrador y el valor que se crearon en la sección Atributos de usuario.

   

10. En la interfaz de usuario de administrador del firewall, seleccione Device (Dispositivo) y elija Authentication Profile (Perfil de autenticación).

11. Selecciona el botón Agregar.

12. En la ventana Authentication Profile (Perfil de autenticación), haga lo siguiente:

    

    a) En el cuadro Name (Nombre), proporcione un nombre (por ejemplo, AzureSAML_Admin_AuthProfile).

    b. En la lista desplegable Type (Tipo), seleccione SAML.

    c. En la lista desplegable Perfil del servidor de IdP, seleccione el perfil adecuado de servidor del proveedor de identidades de SAML (por ejemplo, Microsoft Entra Admin UI).

    d. Active la casilla Enable Single Logout (Habilitar el cierre de sesión único).

    e. En el cuadro Admin Role Attribute (Atributo de rol de administrador), escriba el nombre del atributo (por ejemplo, adminrole).

    f. Seleccione la pestaña Advanced (Opciones avanzadas) y, en Allow List (Lista de permitidos), seleccione Add (Agregar).

    

    g. Active la casilla All (Todos) o seleccione los usuarios y grupos que se pueden autenticar con este perfil.
    Cuando un usuario se autentica, el firewall compara el nombre de usuario o grupo asociado con las entradas de esta lista. Si no agrega entradas, ningún usuario puede autenticarse.

    h. Selecciona Aceptar.

13. Para permitir que los administradores usen SSO de SAML mediante Azure, seleccione Dispositivo>Configuración. En el panel Setup (Configuración), seleccione la pestaña Management (Administración) y, en Authentication Settings (Configuración de autenticación), seleccione el botón de engranaje Settings (Configuración).

    

14. Seleccione el perfil de autenticación de SAML que creó en la ventana Perfil de autenticación (por ejemplo, AzureSAML_Admin_AuthProfile).

    

15. Selecciona Aceptar.

16. Para confirmar la configuración, seleccione Commit (Confirmar).

Creación de un usuario de prueba de Palo Alto Networks - Admin UI

Palo Alto Networks - Admin UI admite el aprovisionamiento de usuarios Just-In-Time. Si un usuario aún no existe, se crea automáticamente en el sistema después de una autenticación correcta. No es necesaria ninguna acción por su parte para crear el usuario.

Prueba del inicio de sesión único

En esta sección vas a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

• Seleccione Probar esta aplicación; esta opción redirige a la dirección URL de inicio de sesión de Palo Alto Networks - Admin UI, donde puede iniciar el flujo de inicio de sesión.

• Vaya directamente a la dirección URL de inicio de sesión de Palo Alto Networks - Admin UI y comience el flujo de inicio de sesión desde allí.

• Puede usar Mis aplicaciones de Microsoft. Al seleccionar el icono de Palo Alto Networks - Admin UI en Aplicaciones, se debería iniciar sesión automáticamente en la instancia de Palo Alto Networks - Admin UI para la que configuró el inicio de sesión único. Para obtener más información acerca de Mis aplicaciones, consulta Introducción a Mis aplicaciones.

Contenido relacionado

Una vez configurado Palo Alto Networks - Admin UI, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión se extiende desde el acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.