Configurer l'interface d'administration de Palo Alto Networks pour l'authentification unique avec Microsoft Entra ID

Dans cet article, vous allez apprendre à intégrer Palo Alto Networks - Admin UI à Microsoft Entra ID. Lorsque vous intégrez Palo Alto Networks – Admin UI avec Microsoft Entra ID, vous pouvez :

• Contrôlez dans Microsoft Entra ID qui a accès à Palo Alto Networks – Admin UI.
• Contrôlez dans Microsoft Entra ID qui a accès à Palo Alto Networks – Admin UI.
• Gérez vos comptes dans un emplacement central.

Conditions préalables

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

• Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• L’un des rôles suivants :
  • Administrateur d’application
  • Administrateur d’applications cloud
  • Propriétaire de l’application.

• Un abonnement Palo Alto Networks – Admin UI pour lequel l’authentification unique est activée.
• Il est nécessaire que le service soit public. Pour plus d’informations, reportez-vous à cette page.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

• Palo Alto Networks - Admin UI prend en charge l’authentification unique (SSO) lancée par le fournisseur de services.
• Palo Alto Networks - L’interface utilisateur d’administration prend en charge l’approvisionnement d’utilisateurs juste-à-temps .

Ajout de Palo Alto Networks - Admin UI depuis la galerie

Pour configurer l'intégration de Palo Alto Networks – Admin UI dans Microsoft Entra ID, vous devez ajouter Palo Alto Networks – Admin UI depuis la galerie à votre liste d'applications SaaS gérées.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
2. Accédez à Entra ID>applications d'entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie , tapez Palo Alto Networks - Admin UI dans la zone de recherche.
4. Sélectionnez Palo Alto Networks - Interface utilisateur d’administration dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez sinon également utiliser l’Assistant de configuration des applications d'entreprise . Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les Assistants Microsoft 365.

Configurer et tester Microsoft Entra SSO pour Palo Alto Networks – Interface utilisateur d'administration

Dans cette section, vous allez configurer et tester l’authentification unique Microsoft Entra avec Palo Alto Networks - Admin UI avec un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans Palo Alto Networks – Admin UI doit être établie.

Pour configurer et tester l'authentification unique Microsoft Entra avec Palo Alto Networks – Admin UI, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Affectez l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurez Palo Alto Networks - Admin UI SSO pour configurer les paramètres de l’authentification unique côté application.
   1. Créer un utilisateur de test Palo Alto Networks - Admin UI pour avoir un équivalent de B.Simon dans Palo Alto Networks - Admin UI lié à la représentation Microsoft Entra de l’utilisateur.
3. Test SSO - pour vérifier si la configuration fonctionne.

Configurer l’authentification unique Microsoft Entra

Suivez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

2. Accédez à Entra ID>applications d'entreprise>Palo Alto Networks - Admin UI>authentification unique.

3. Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML , sélectionnez l’icône crayon de configuration SAML de base pour modifier les paramètres.

   

5. Dans la section Configuration SAML de base , procédez comme suit :

   un. Dans la zone Identificateur , tapez une URL à l’aide du modèle suivant : https://<Customer Firewall FQDN>:443/SAML20/SP

   b. Dans la zone de texte URL de réponse , tapez l’URL ASSERTION Consumer Service (ACS) au format suivant : https://<Customer Firewall FQDN>:443/SAML20/SP/ACS

   v. Dans la zone de texte URL de connexion , tapez une URL à l’aide du modèle suivant : https://<Customer Firewall FQDN>/php/login.php

   Remarque

   Ces valeurs ne sont pas réelles. Mettez à jour ces valeurs avec l’IDENTIFICATEUR, l’URL de réponse et l’URL de connexion réels. Pour obtenir ces valeurs , contactez l’équipe du support technique Palo Alto Networks - Admin UI . Vous pouvez également faire référence aux modèles indiqués dans la section Configuration SAML de base .

   Le port 443 est requis sur l’identificateur et l’URL de réponse , car ces valeurs sont codées en dur dans le Pare-feu Palo Alto. Supprimer le numéro de port entraîne une erreur lors de la connexion.

   Le port 443 est requis sur l’identificateur et l’URL de réponse , car ces valeurs sont codées en dur dans le Pare-feu Palo Alto. Supprimer le numéro de port entraîne une erreur lors de la connexion.

6. L’application Palo Alto Networks - Admin UI s’attend à recevoir les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à la configuration des attributs du jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut.

   

   Remarque

   Étant donné que les valeurs d’attribut sont des exemples uniquement, mappez les valeurs appropriées pour le nom d’utilisateur et l’administrateur. Il existe un autre attribut facultatif, accessdomain, utilisé pour restreindre l’accès administrateur à des systèmes virtuels spécifiques sur le pare-feu.

7. En plus de ce qui précède, l’application Palo Alto Networks - Admin UI s’attend à ce que quelques attributs supplémentaires (présentés ci-dessous) soient repassés dans la réponse SAML. Ces attributs sont également préremplis, mais vous pouvez les examiner pour voir s’ils répondent à vos besoins.

   Nom	Attribut-source
   nom d'utilisateur	utilisateur.nomPrincipalUtilisateur
   rôle d'administrateur	customadmin

   Remarque

   La valeur Name , indiquée ci-dessus en tant qu’administrateur, doit être la même valeur que l’attribut de rôle d’administrateur, qui est configuré à l’étape 12 de la section Configurer Palo Alto Networks - Admin UI SSO . La valeur de l’attribut source , indiquée ci-dessus en tant que customadmin, doit être la même valeur que le nom du profil de rôle d’administrateur, qui est configuré à l’étape 9 de la section Configurer Palo Alto Networks - Admin UI SSO .

   Remarque

   Pour plus d'informations sur les attributs, consultez les articles suivants :

   • Profil de rôle d’administrateur pour l’interface utilisateur d’administration (adminrole)
   • Domaine d’accès aux appareils pour l’interface utilisateur d’administration (accessdomain)

8. Dans la page Configurer un seul Sign-On avec SAML , dans la section Certificat de signature SAML , sélectionnez Télécharger pour télécharger le xml des métadonnées de fédération à partir des options fournies en fonction de vos besoins et enregistrez-le sur votre ordinateur.

   

9. Dans la section Configurer Palo Alto Networks - Admin UI , copiez la ou les URL appropriées en fonction de vos besoins.

   

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions de création et d’affectation d’un compte d’utilisateur pour créer un compte d’utilisateur de test appelé B.Simon.

Configurer l’authentification unique Palo Alto Networks - Admin UI

1. Ouvrez l’interface utilisateur de l’administration du pare-feu Palo Alto Networks en tant qu’administrateur dans une nouvelle fenêtre.

2. Sélectionnez l’onglet Appareil .

   

3. Dans le volet gauche, sélectionnez Fournisseur d’identité SAML, puis Importer pour importer le fichier de métadonnées.

   

4. Dans la fenêtre d’importation de profil du serveur d’identification SAML , procédez comme suit :

   

   un. Dans la zone Nom du profil , indiquez un nom (par exemple, l’interface utilisateur de Microsoft Entra Admin).

   b. Sous Métadonnées du fournisseur d’identité, sélectionnez Parcourir, puis sélectionnez le fichier metadata.xml que vous avez téléchargé précédemment.

   v. Désactivez la case à cocher Valider le certificat du fournisseur d’identité .

   d. Sélectionnez OK.

   é. Pour valider les configurations sur le pare-feu, sélectionnez Valider.

5. Dans le volet gauche, sélectionnez Fournisseur d’identité SAML, puis sélectionnez le profil du fournisseur d’identité SAML (par exemple, l’interface utilisateur de Microsoft Entra Admin) que vous avez créé à l’étape précédente.

   

6. Dans la fenêtre Profil du serveur du fournisseur d’identité SAML , procédez comme suit :

   

   un. Dans la zone URL SLO du fournisseur d’identité , remplacez l’URL SLO précédemment importée par l’URL suivante : https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

   b. Sélectionnez OK.

7. Dans l’interface utilisateur d’administration du pare-feu Palo Alto Networks, sélectionnez Appareil, puis sélectionnez Rôles d’administrateur.

8. Sélectionnez le bouton Ajouter .

9. Dans la fenêtre Profil de rôle d’administrateur , dans la zone Nom , indiquez un nom pour le rôle d’administrateur (par exemple, fwadmin). Le nom du rôle d’administrateur doit correspondre au nom de l’attribut Rôle d’administrateur SAML envoyé par le fournisseur d’identité. Le nom et la valeur du rôle d’administrateur ont été créés dans la section Attributs utilisateur .

   

10. Dans l’interface utilisateur administrateur du pare-feu, sélectionnez Appareil, puis profil d’authentification.

11. Sélectionnez le bouton Ajouter .

12. Dans la fenêtre Profil d’authentification , procédez comme suit :

    

    un. Dans la zone Nom , indiquez un nom (par exemple, AzureSAML_Admin_AuthProfile).

    b. Dans la liste déroulante Type , sélectionnez SAML.

    v. Dans la liste déroulante Profil du serveur IdP , sélectionnez le profil serveur du fournisseur d’identité SAML approprié (par exemple, l’interface utilisateur de Microsoft Entra Admin).

    d. Cochez la case Activer la déconnexion unique .

    é. Dans la zone Attribut de rôle d’administrateur , entrez le nom de l’attribut (par exemple, adminrole).

    f. Sélectionnez l’onglet Avancé , puis, sous Liste d'autorisation, sélectionnez Ajouter.

    

    g. Activez la case à cocher All , ou sélectionnez les utilisateurs et les groupes qui peuvent s’authentifier avec ce profil.
    Lorsqu’un utilisateur s’authentifie, le pare-feu fait correspondre le nom d’utilisateur ou de groupe associé aux entrées figurant dans cette liste. Si vous n’ajoutez pas d’entrées, aucun utilisateur ne peut s’authentifier.

    h. Sélectionnez OK.

13. Pour permettre aux administrateurs d’utiliser l’authentification unique SAML à l’aide d’Azure, sélectionnezConfiguration de>. Dans le volet Configuration , sélectionnez l’onglet Gestion , puis, sous Paramètres d’authentification, sélectionnez le bouton Paramètres (« engrenage »).

    

14. Sélectionnez le profil d’authentification SAML que vous avez créé dans la fenêtre Profil d’authentification (par exemple, AzureSAML_Admin_AuthProfile).

    

15. Sélectionnez OK.

16. Pour valider la configuration, sélectionnez Valider.

Créer un utilisateur de test Palo Alto Networks - Admin UI

Palo Alto réseaux - Admin UI prend en charge l’approvisionnement de l’utilisateur juste-à-temps. S’il n’existe pas encore d’utilisateur, il est automatiquement créé dans le système après une authentification réussie. Aucune action n’est nécessaire pour créer l’utilisateur.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

• Sélectionnez Tester cette application, cette option redirige vers l’URL de connexion à Palo Alto Networks - Admin UI, où vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL de connexion Palo Alto Networks - Admin UI pour lancer le processus de connexion.

• Vous pouvez utiliser Microsoft My Apps. Lorsque vous sélectionnez la vignette Palo Alto Networks - Admin UI dans Mes applications, vous devez être connecté automatiquement à l’interface utilisateur Palo Alto Networks - Admin pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Contenu connexe

Après avoir configuré Palo Alto Networks – IU d’administrateur, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session s’étend de l’accès conditionnel. Découvrez comment appliquer le contrôle de session avec Microsoft Defender pour Cloud Apps.