Configurare il Captive Portal di Palo Alto Networks per il provisioning automatico degli utenti con Microsoft Entra ID

Questo articolo illustra come integrare Palo Alto Networks Captive Portal con Microsoft Entra ID. L'integrazione di Palo Alto Networks Captive Portal con Microsoft Entra ID offre i vantaggi seguenti:

• È possibile controllare in Microsoft Entra ID chi può accedere a Palo Alto Networks Captive Portal.
• È possibile abilitare gli utenti per l'accesso automatico a Palo Alto Networks Captive Portal (single Sign-On) con gli account Microsoft Entra personali.
• È possibile gestire gli account in una posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile creare gratuitamente un account.
• Uno dei ruoli seguenti:
  • Amministratore dell'applicazione
  • Amministratore di applicazioni cloud
  • Proprietario dell'applicazione.

• Sottoscrizione abilitata per il Single Sign-On (SSO) del Captive Portal di Palo Alto Networks.

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso Single Sign-On di Microsoft Entra in un ambiente di test.

• Palo Alto Networks Captive Portal supporta l'SSO avviato da IDP
• Palo Alto Networks Captive Portal supporta il provisioning utenti JIT

Aggiungere Palo Alto Networks Captive Portal dalla galleria

Per configurare l'integrazione di Palo Alto Networks Captive Portal in Microsoft Entra ID, è necessario aggiungere Palo Alto Networks Captive Portal dalla raccolta all'elenco di app SaaS gestite.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud.
2. Passare a Entra ID>Applicazioni aziendali>Nuova applicazione.
3. Nella sezione Aggiungi dalla raccolta digitare Palo Alto Networks Captive Portal nella casella di ricerca.
4. Selezionare Palo Alto Networks Captive Portal nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tenant.

In alternativa, puoi anche utilizzare la procedura guidata di configurazione dell'app aziendale. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Scopri di più sugli assistenti di Microsoft 365.

Configurare e testare l'accesso Single Sign-On di Microsoft Entra

In questa sezione viene configurato e testato l'accesso Single Sign-On di Microsoft Entra con Palo Alto Networks Captive Portal usando un utente di test di nome B.Simon. Per il corretto funzionamento dell'accesso Single Sign-On, deve essere stabilita una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Palo Alto Networks Captive Portal.

Per configurare e testare l'accesso Single Sign-On di Microsoft Entra con Palo Alto Networks Captive Portal, seguire questa procedura:

1. Configurare l'SSO di Microsoft Entra - Abilitare l'utente a utilizzare questa funzionalità.
   • Creare un utente di test di Microsoft Entra : testare l'accesso Single Sign-On di Microsoft Entra con l'utente B.Simon.
   • Assegnare l'utente di test di Microsoft Entra : configurare B.Simon per l'uso dell'accesso Single Sign-On di Microsoft Entra.
2. Configurare l'accesso Single Sign-On di Palo Alto Networks Captive Portal : configurare le impostazioni di Single Sign-On nell'applicazione.
   • Creare un utente di test di Palo Alto Networks Captive Portal : per avere una controparte di B.Simon in Palo Alto Networks Captive Portal collegata alla rappresentazione dell'utente in Microsoft Entra.
3. Prova Single Sign-On: verificare che la configurazione funzioni.

Configurare l'autenticazione unica Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud.

2. Passare a Entra ID>Enterprise apps>Palo Alto Networks Captive Portal>Single Sign-On.

3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

4. Nella pagina Configura accesso Single Sign-On con SAML selezionare l'icona a forma di matita per Configurazione SAML di base per modificare le impostazioni.

   

5. Nel riquadro Configurazione SAML di base seguire questa procedura:

   1. Per Identificatore immettere un URL con il modello https://<customer_firewall_host_name>:6082/SAML20/SP.

   2. Per URL di risposta immettere un URL con il modello https://<customer_firewall_host_name>:6082/SAML20/SP/ACS.

      Nota

      Aggiorna i valori segnaposto in questo passaggio con l'identificatore reale e gli URL di risposta. Per ottenere i valori effettivi, contattare il team di supporto clienti di Palo Alto Networks Captive Portal.

6. Nella sezione Certificato di firma SAML , accanto a XML metadati federazione, selezionare Scarica. Salvare il file scaricato nel computer.

   

Creare e assegnare un utente di test di Microsoft Entra

Seguire le linee guida della guida introduttiva creare e assegnare un account utente per creare un account utente di prova chiamato B.Simon.

Configurare il Captive Portal SSO di Palo Alto Networks

Successivamente, configura Single Sign-On nel Captive Portal di Palo Alto Networks.

1. In un'altra finestra del browser accedere al sito Web palo Alto Networks come amministratore.

2. Selezionare la scheda Dispositivo .

   

3. Nel menu selezionare SAML Identity Provider (Provider di identità SAML) e quindi selezionare Import (Importa).

   

4. Nella finestra di dialogo SAML Identity Provider Server Profile Import (Importazione profilo server provider di identità SAML ) completare la procedura seguente:

   

   1. Per Nome profilo immettere un nome, ad esempio AzureAD-CaptivePortal.

   2. Accanto a Identity Provider Metadata (Metadati provider di identità), selezionate Browse (Sfoglia). Selezionare il file metadata.xml scaricato.

   3. Selezionare OK.

Creare un utente di test di Palo Alto Networks Captive Portal

Creare quindi un utente di nome Britta Simon in Palo Alto Networks Captive Portal. Il Captive Portal di Palo Alto Networks supporta il provisioning Just-In-Time (JIT) degli utenti, che è abilitato per impostazione predefinita. Non è necessario completare alcuna attività in questa sezione. Se non esiste già un utente in Palo Alto Networks Captive Portal, ne viene creato uno nuovo dopo l'autenticazione.

Nota

Per creare un utente manualmente, contattare il team di supporto clienti di Palo Alto Networks Captive Portal .

Testare la funzionalità SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

• Selezionare Test this application (Testa questa applicazione) e si dovrebbe accedere automaticamente all'applicazione Palo Alto Networks Captive Portal per cui si è configurato l'accesso SSO

• È possibile usare Microsoft My Apps. Quando si seleziona il riquadro di Palo Alto Networks Captive Portal in App personali, si dovrebbe accedere automaticamente all'applicazione Palo Alto Networks Captive Portal per cui si è configurato l'accesso SSO. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.

Contenuto correlato

Dopo aver configurato Palo Alto Networks Captive Portal, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.