Tutorial: Integración del inicio de sesión único de Microsoft Entra con Palo Alto Networks - Admin UI
En este tutorial, obtendrá información sobre cómo integrar Palo Alto Networks - Admin UI con Microsoft Entra ID. Al integrar Palo Alto Networks - Admin UI con Microsoft Entra ID, puede hacer lo siguiente:
- Controlar en Microsoft Entra ID quién tiene acceso a Palo Alto Networks - Admin UI.
- Permitir que los usuarios inicien sesión automáticamente en Palo Alto Networks - Admin UI con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Requisitos previos
Para empezar, necesita los siguientes elementos:
- Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
- Una suscripción habilitada para el inicio de sesión único en Palo Alto Networks - Admin UI.
- Es un requisito que el servicio esté disponible públicamente. Consulte esta página para obtener más información.
Descripción del escenario
En este tutorial se configura y prueba el inicio de sesión único de Microsoft Entra en un entorno de prueba.
- Palo Alto Networks - Admin UI admite el inicio de sesión único iniciado por SP.
- Palo Alto Networks - Admin UI admite el aprovisionamiento de usuarios Just-In-Time.
Agregación de Palo Alto Networks: interfaz de usuario de administración
Para configurar la integración de Palo Alto Networks - Admin UI en Microsoft Entra ID, es preciso agregar Palo Alto Networks - Admin UI desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba Palo Alto Networks: Admin UI en el cuadro de búsqueda.
- Seleccione Palo Alto Networks: Admin UI en el panel de resultados y, a continuación, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra en Palo Alto Networks - Admin UI
En esta sección, configurará y probará el inicio de sesión único de Microsoft Entra con Palo Alto Networks - Admin UI con un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es preciso establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Palo Alto Networks - Admin UI.
Para configurar y probar el inicio de sesión único de Microsoft Entra con Palo Alto Networks - Admin UI, siga estos pasos:
- Configure el inicio de sesión único de Microsoft Entra, para que los usuarios puedan usar esta característica.
- Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
- Configuración del inicio de sesión único de Palo Alto Networks: Admin UI : para configurar los valores de inicio de sesión único en la aplicación.
- Creación de un usuario de prueba de Palo Alto Networks - Admin UI, para tener un homólogo de B.Simon en Palo Alto Networks - Admin UI que esté vinculado a la representación del usuario en Microsoft Entra.
- Prueba del inicio de sesión único : para comprobar si la configuración funciona.
Configuración del inicio de sesión único de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Palo Alto Networks - Admin UI>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.
En la sección Configuración básica de SAML, siga estos pasos:
a. En el cuadro de texto Identificador, escriba una dirección URL con el siguiente patrón:
https://<Customer Firewall FQDN>:443/SAML20/SP
b. En el cuadro de texto Dirección URL de respuesta, escriba la dirección URL del Servicio de consumidor de aserciones (ACS) con el siguiente formato:
https://<Customer Firewall FQDN>:443/SAML20/SP/ACS
.c. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón:
https://<Customer Firewall FQDN>/php/login.php
Nota:
Estos valores no son reales. Actualice estos valores con los valores reales de Identificador, URL de respuesta y URL de inicio de sesión. Póngase en contacto con el equipo de soporte técnico del cliente de Palo Alto Networks: interfaz de usuario de administración para obtener estos valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.
El puerto 443 es necesario en los campos Identificador y Dirección URL de respuesta, ya que estos valores están codificados de forma rígida en el firewall de Palo Alto. Si se quita el número de puerto, se producirá un error durante el inicio de sesión.
El puerto 443 es necesario en los campos Identificador y Dirección URL de respuesta, ya que estos valores están codificados de forma rígida en el firewall de Palo Alto. Si se quita el número de puerto, se producirá un error durante el inicio de sesión.
La aplicación Palo Alto Networks - Admin UI espera las aserciones de SAML en un formato específico, que requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. La siguiente captura de muestra la lista de atributos predeterminados.
Nota:
Como los valores de atributo son solo ejemplos, asigne los valores adecuados para username y adminrole. Hay otro atributo opcional, accessdomain, que se usa para restringir el acceso de administrador a sistemas virtuales específicos en el firewall.
Además de lo anterior, la aplicación Palo Alto Networks - Admin UI espera que se devuelvan algunos atributos más, que se muestran a continuación, en la respuesta de SAML. Estos atributos también se rellenan previamente, pero puede revisarlos según sus requisitos.
Nombre Atributo de origen username user.userprincipalname adminrole customadmin Nota:
El valor de Nombre, que se muestra más arriba como adminrole, debe ser el mismo valor que para el atributo de rol de administrador configurado en el paso 12 de la sección Configuración del inicio de sesión único de Palo Alto Networks - Admin UI . El valor de Atributo de origen, que se muestra más arriba como customadmin, debe ser el mismo valor que para el nombre de perfil de rol administrador configurado en el paso 9 de la sección Configuración del inicio de sesión único de Palo Alto Networks - Admin UI.
Nota:
Para más información sobre los atributos, consulte los siguientes artículos:
En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar el XML de metadatos de federación de las opciones proporcionadas según sus requisitos y guárdelo en el equipo.
En la sección Configurar Palo Alto Networks - Admin UI, copie las direcciones URL que necesite.
Cree un usuario de prueba de Microsoft Entra
En esta sección, se crea un usuario llamado B.Simon.
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
- Vaya aIdentidad>Usuarios>Todos los usuarios.
- Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, siga estos pasos:
- En el campo Nombre para mostrar, escriba
B.Simon
. - En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.
- Seleccione Revisar + crear.
- En el campo Nombre para mostrar, escriba
- Seleccione Crear.
Asignación del usuario de prueba de Microsoft Entra
En esta sección, va a permitir que B.Simon acceda a Palo Alto Networks - Admin UI mediante el inicio de sesión único.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Palo Alto Networks - Admin UI.
- En la página de información general de la aplicación, seleccione Usuarios y grupos.
- Seleccione Agregar usuario o grupo. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
- En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y haga clic en el botón Seleccionar de la parte inferior de la pantalla.
- Si espera que se asigne un rol a los usuarios, puede seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verá seleccionado el rol "Acceso predeterminado".
- En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Configuración del inicio de sesión único de Palo Alto Networks: Admin UI
Abra la interfaz de usuario de administración del firewall de Palo Alto Networks como administrador en una nueva ventana.
Seleccione la pestaña Device (Dispositivo).
En el panel izquierdo, seleccione SAML Identity Provider (Proveedor de identidades de SAML) y, luego, seleccione Import (Importar) para importar el archivo de metadatos.
En la ventana SAML Identify Provider Server Profile Import (Importación del perfil de servidor del proveedor de identidades de SAML), haga lo siguiente:
a. En el cuadro Nombre del perfil, proporcione un nombre (por ejemplo, Microsoft Entra Admin UI).
b. En Metadatos del proveedor de identidades, seleccione Examinar y elija el archivo metadata.xml que ha descargado anteriormente.
c. Desactive la casilla Validate Identity Provider Certificate (Validar certificado de proveedor de identidades).
d. Seleccione Aceptar.
e. Para confirmar las configuraciones en el firewall, seleccione Commit (Confirmar).
En el panel izquierdo, seleccione Proveedor de identidades de SAML y elija el perfil del proveedor de identidades de SAML (por ejemplo, Microsoft Entra Admin UI) que creó en el paso anterior.
En la ventana SAML Identity Provider Server Profile (Perfil de servidor del proveedor de identidades de SAML), realice lo siguiente:
a. En el cuadro Identity Provider SLO URL (Dirección URL de SLO del proveedor de identidades), sustituya la dirección URL de SLO importada anteriormente y agregue la siguiente dirección URL:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
.b. Seleccione Aceptar.
En la interfaz de usuario del firewall de Palo Alto Networks, seleccione Device (Dispositivo) y elija Admin Roles (Roles de administrador).
Seleccione el botón Agregar.
En la ventana Admin Role Profile (Perfil de rol de administrador), en el cuadro Name (Name), proporcione un nombre para el rol de administrador (por ejemplo, fwadmin). El nombre del rol de administrador debe coincidir con el nombre de atributo del rol de administrador de SAML enviado por el proveedor de identidades. El nombre de rol de administrador y el valor que se crearon en la sección Atributos de usuario.
En la interfaz de usuario de administrador del firewall, seleccione Device (Dispositivo) y elija Authentication Profile (Perfil de autenticación).
Seleccione el botón Agregar.
En la ventana Authentication Profile (Perfil de autenticación), haga lo siguiente:
a. En el cuadro Name (Nombre), proporcione un nombre (por ejemplo, AzureSAML_Admin_AuthProfile).
b. En la lista desplegable Type (Tipo), seleccione SAML.
c. En la lista desplegable Perfil del servidor de IdP, seleccione el perfil adecuado de servidor del proveedor de identidades de SAML (por ejemplo, Microsoft Entra Admin UI).
d. Active la casilla Enable Single Logout (Habilitar el cierre de sesión único).
e. En el cuadro Admin Role Attribute (Atributo de rol de administrador), escriba el nombre del atributo (por ejemplo, adminrole).
f. Seleccione la pestaña Advanced (Opciones avanzadas) y, en Allow List (Lista de permitidos), seleccione Add (Agregar).
ej. Active la casilla All (Todos) o seleccione los usuarios y grupos que se pueden autenticar con este perfil.
Cuando un usuario se autentica, el firewall compara el nombre de usuario o grupo asociado con las entradas de esta lista. Si no agrega entradas, ningún usuario puede autenticarse.h. Seleccione Aceptar.
Para permitir que los administradores usen SSO de SAML mediante Azure, seleccione Device (Dispositivo) >Setup (Configuración). En el panel Setup (Configuración), seleccione la pestaña Management (Administración) y, en Authentication Settings (Configuración de autenticación), seleccione el botón de engranaje Settings (Configuración).
Seleccione el perfil de autenticación de SAML que creó en la ventana Perfil de autenticación (por ejemplo, AzureSAML_Admin_AuthProfile).
Seleccione Aceptar.
Para confirmar la configuración, seleccione Commit (Confirmar).
Creación de un usuario de prueba de Palo Alto Networks - Admin UI
Palo Alto Networks - Admin UI admite el aprovisionamiento de usuarios Just-In-Time. Si un usuario aún no existe, se crea automáticamente en el sistema después de una autenticación correcta. No es necesaria ninguna acción por su parte para crear el usuario.
Prueba de SSO
En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Haga clic en Probar esta aplicación; esta acción le redirigirá a la dirección URL de inicio de sesión de Palo Alto Networks - Admin UI, donde puede comenzar el flujo de inicio de sesión.
Vaya directamente a la dirección URL de inicio de sesión de Palo Alto Networks - Admin UI y comience el flujo de inicio de sesión desde allí.
Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de Palo Alto Networks - Admin UI en Aplicaciones, se debería iniciar sesión automáticamente en la instancia de Palo Alto Networks - Admin UI para la que configuró el inicio de sesión único. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
Pasos siguientes
Una vez configurado Palo Alto Networks - Admin UI, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.