Tutoriel : Intégration de Microsoft Entra SSO avec Palo Alto Networks – Interface utilisateur d'administration

  • Article

Dans ce didacticiel, vous apprendrez à intégrer Palo Alto Networks – Admin UI avec Microsoft Entra ID. Lorsque vous intégrez Palo Alto Networks – Admin UI avec Microsoft Entra ID, vous pouvez :

  • Contrôlez dans Microsoft Entra ID qui a accès à Palo Alto Networks – Admin UI.
  • Contrôlez dans Microsoft Entra ID qui a accès à Palo Alto Networks – Admin UI.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Un abonnement Palo Alto Networks – Admin UI pour lequel l’authentification unique est activée.
  • Il est nécessaire que le service soit public. Pour plus d’informations, reportez-vous à cette page.

Description du scénario

Dans ce didacticiel, vous configurez et testez l’authentification unique Microsoft Entra dans un environnement de test.

  • Palo Alto Networks – Admin UI prend en charge l’authentification unique lancée par le fournisseur de services.
  • Palo Alto Networks – Admin UI prend en charge l’attribution d’utilisateurs juste-à-temps.

Ajout de Palo Alto Networks - Admin UI depuis la galerie

Pour configurer l'intégration de Palo Alto Networks – Admin UI dans Microsoft Entra ID, vous devez ajouter Palo Alto Networks – Admin UI depuis la galerie à votre liste d'applications SaaS gérées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez Palo Alto Networks - Admin UI dans la zone de recherche.
  4. Sélectionnez Palo Alto Networks - Admin UI dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester Microsoft Entra SSO pour Palo Alto Networks – Interface utilisateur d'administration

Dans cette section, vous configurez et testez l'authentification unique Microsoft Entra avec Palo Alto Networks – Admin UI basée sur un utilisateur test appelé B.Simon. Pour que l’authentification unique fonctionne, une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans Palo Alto Networks – Admin UI doit être établie.

Pour configurer et tester l'authentification unique Microsoft Entra avec Palo Alto Networks – Admin UI, effectuez les étapes suivantes :

  1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
    1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique Palo Alto Networks - Admin UI pour configurer les paramètres de l’authentification unique côté application.
    1. Créer Palo Alto Networks – Utilisateur test de l'interface utilisateur administrateur – avoir un homologue de B.Simon à Palo Alto Networks – Interface utilisateur d’administration liée à la représentation Microsoft Entra de l’utilisateur.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Palo Alto Networks : Admin UI>Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

    Edit Basic SAML Configuration

  5. Dans la section Configuration SAML de base, effectuez les étapes suivantes :

    a. Dans la zone de texte Identificateur, tapez une URL en utilisant le format suivant : https://<Customer Firewall FQDN>:443/SAML20/SP

    b. Dans la zone de texte URL de réponse, tapez l’URL Assertion Consumer Service (ACS) dans le format suivant : https://<Customer Firewall FQDN>:443/SAML20/SP/ACS

    c. Dans la zone de texte URL de connexion, tapez une URL au format suivant : https://<Customer Firewall FQDN>/php/login.php.

    Note

    Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Contactez l’équipe de support client de Palo Alto Networks - Admin UI pour obtenir ces valeurs. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.

    Le port 443 doit être utilisé dans les valeurs Identificateur et URL de réponse, car ces deux valeurs sont codées en dur dans le pare-feu Palo Alto. La suppression de ce numéro de port provoquera une erreur lors de la connexion.

    Le port 443 doit être utilisé dans les valeurs Identificateur et URL de réponse, car ces deux valeurs sont codées en dur dans le pare-feu Palo Alto. La suppression de ce numéro de port provoquera une erreur lors de la connexion.

  6. L’application Palo Alto Networks - Admin UI s’attend à recevoir les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à la configuration des attributs du jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut.

    image

    Remarque

    Étant donné que les valeurs d’attributs ne sont que des exemples, mappez les valeurs appropriées pour nom d’utilisateur et adminrole. Il existe un autre attribut facultatif, accessdomain, qui est utilisé pour restreindre l’accès administrateur à des systèmes virtuels spécifiques sur le pare-feu.

  7. En plus de ce qui précède, l’application Palo Alto Networks - Admin UI s’attend à ce que quelques attributs supplémentaires (présentés ci-dessous) soient repassés dans la réponse SAML. Ces attributs sont également préremplis, mais vous pouvez les examiner pour voir s’ils répondent à vos besoins.

    Nom Attribut source
    username user.userprincipalname
    adminrole customadmin

    Notes

    La valeur Nom, indiquée ci-dessus en tant que adminrole, doit avoir la même valeur que l’Attribut du rôle d’administrateur qui est configuré à l’étape 12 de la section Configurer l’authentification unique Palo Alto Networks – Admin UI . La valeur Attribut source, indiquée ci-dessus en tant que customadmin, doit avoir la même valeur que le Nom de profil du rôle d’administrateur qui est configuré à l’étape 9 de la section Configurer l’authentification unique Palo Alto Networks – Admin UI.

    Remarque

    Pour plus d'informations sur les attributs, consultez les articles suivants :

  8. Sur la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, cliquez sur Télécharger pour télécharger le fichier XML de métadonnées de fédération en fonction des options définies selon vos besoins, puis enregistrez-le sur votre ordinateur.

    The Certificate download link

  9. Dans la section Configurer Palo Alto Networks - Admin UI, copiez les URL appropriées selon vos besoins.

    Copy configuration URLs

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser B.Simon à utiliser l’authentification unique en lui accordant l’accès à Palo Alto Networks : Admin UI.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Palo Alto Networks : Admin UI.
  3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
    1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
    2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
    3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique Palo Alto Networks - Admin UI

  1. Ouvrez l’interface utilisateur de l’administration du pare-feu Palo Alto Networks en tant qu’administrateur dans une nouvelle fenêtre.

  2. Sélectionnez l’onglet Appareil.

    Screenshot shows the Device tab.

  3. Dans le volet gauche, sélectionnez Fournisseur d’identité SAML, puis sélectionnez Importer pour importer le fichier de métadonnées.

    Screenshot shows the Import metadata file button.

  4. Dans la fenêtre Importer le profil du serveur du fournisseur d’identité SAML, procédez comme suit :

    Screenshot shows the

    a. Dans la zone Nom du profil, indiquez un nom (par exemple, Microsoft Entra Admin UI).

    b. Cliquez sur Nouveau fournisseur d’identité, sélectionnez Parcourir et le fichier XML de métadonnées que vous avez téléchargé.

    c. Décochez Valider le certificat de fournisseur d’identité.

    d. Sélectionnez OK.

    e. Pour valider les configurations sur le pare-feu, sélectionnez Valider.

  5. Dans le volet de gauche, sélectionnez Fournisseur d'identité SAML, puis sélectionnez le profil de fournisseur d'identité SAML (par exemple, Microsoft Entra Admin UI) que vous avez créé à l'étape précédente.

    Screenshot shows the SAML Identity Provider Profile

  6. Dans la fenêtre Profil du serveur du fournisseur d’identité SAML, procédez comme suit :

    Screenshot shows the

    a. Dans la zone Identity Provider SLO URL (URL SLO du fournisseur d’identité), remplacez l’URL SLO précédemment importée par l’URL suivante : https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

    b. Sélectionnez OK.

  7. Dans Admin UI du pare-feu Palo Alto Networks, sélectionnez Appareil, puis Rôles d’administrateur.

  8. Sélectionnez le bouton Ajouter.

  9. Dans la fenêtre Profil de rôle d’administrateur, dans la zone Nom, indiquez un nom pour le rôle d’administrateur (par exemple, fwadmin). Le nom du rôle d’administrateur doit correspondre au nom de l’attribut Rôle d’administrateur SAML envoyé par le fournisseur d’identité. Le nom du rôle d’administrateur et sa valeur ont été créés dans la section Attributs d’utilisateur.

    Configure Palo Alto Networks Admin Role.

  10. Dans l’interface Admin UI du pare-feu, sélectionnez Appareil, puis Profil d’authentification.

  11. Sélectionnez le bouton Ajouter.

  12. Dans la fenêtre Profil d’authentication, procédez comme suit :

    Screenshot shows the

    a. Dans la zone Nom, indiquez un nom (par exemple, AzureSAML_Admin_AuthProfile).

    b. Dans la liste déroulante Type, sélectionnez SAML.

    c. Dans la liste déroulante Profil du serveur IdP, sélectionnez le profil de serveur de fournisseur d'identité SAML approprié (par exemple, Microsoft Entra Admin UI).

    d. Cochez la case Activer Single Logout.

    e. Dans la zone Attribut du rôle administrateur, entrez le nom d’attribut (par exemple, adminrole).

    f. Sélectionnez l’onglet Avancé, puis, sous Liste verte, sélectionnez Ajouter.

    Screenshot shows the Add button on the Advanced tab.

    g. Cochez la case Tous, ou sélectionnez les utilisateurs et groupes qui peuvent s’authentifier avec ce profil.
    Lorsqu’un utilisateur s’authentifie, le pare-feu fait correspondre le nom d’utilisateur ou de groupe associé aux entrées figurant dans cette liste. Si vous n’ajoutez pas d’entrées, aucun utilisateur ne peut s’authentifier.

    h. Sélectionnez OK.

  13. Pour permettre aux administrateurs d’utiliser SAML SSO à l’aide d’Azure, sélectionnez Appareil>Installation. Dans le volet Installation, sélectionnez l’onglet Gestion puis, sous Paramètres d’authentification, sélectionnez le bouton Paramètres (« engrenage »).

    Screenshot shows the Settings button.

  14. Sélectionnez le profil de l’authentification SAML créé dans la fenêtre Authentication Profile (Profil d’authentification) (par exemple, AzureSAML_Admin_AuthProfile).

    Screenshot shows the Authentication Profile field.

  15. Cliquez sur OK.

  16. Pour valider la configuration, sélectionnez Valider.

Créer un utilisateur de test Palo Alto Networks - Admin UI

Palo Alto réseaux - Admin UI prend en charge l’approvisionnement de l’utilisateur juste-à-temps. Si un utilisateur n’existe pas encore, il est automatiquement créé dans le système après une authentification réussie. Aucune action n’est nécessaire pour créer l’utilisateur.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • Cliquez sur Tester cette application. Vous serez alors redirigé vers l’URL de connexion à Palo Alto Networks : Admin UI, où vous pourrez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion Palo Alto Networks - Admin UI pour lancer le processus de connexion.

  • Vous pouvez utiliser Mes applications de Microsoft. Quand vous cliquez sur la vignette Palo Alto Networks - Admin UI dans Mes applications, vous devez être connecté automatiquement à l’application Palo Alto Networks - Admin UI pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré Palo Alto Networks – IU d’administrateur, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.