Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste artigo, você aprenderá a integrar o Palo Alto Networks – GlobalProtect à ID do Microsoft Entra. Ao integrar o Palo Alto Networks - GlobalProtect ao Microsoft Entra ID, você poderá:
- Controlar tem acesso ao Palo Alto Networks - GlobalProtect no Microsoft Entra ID.
- Permitir que os usuários sejam conectados automaticamente ao Palo Alto Networks - GlobalProtect usando suas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
Pré-requisitos
O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:
- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tiver uma, poderá criar uma conta gratuitamente.
- Uma das seguintes funções:
- Assinatura do Palo Alto Networks – GlobalProtect habilitada para SSO (logon único).
Descrição do cenário
Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.
- Palo Alto Networks – GlobalProtect dá suporte ao SSO iniciado por SP
- Palo Alto Networks – GlobalProtect dá suporte ao provisionamento de usuário just-in-time
Adicionando o Palo Alto Networks – GlobalProtect da Galeria
Para configurar a integração do Palo Alto Networks - GlobalProtect com o Microsoft Entra, você precisará adicionar o Palo Alto Networks - GlobalProtect da galeria à sua lista de aplicativos SaaS gerenciados.
- Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
- Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
- Na seção Adicionar por meio da galeria , digite Palo Alto Networks – GlobalProtect na caixa de pesquisa.
- Selecione Palo Alto Networks – GlobalProtect no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o SSO do Microsoft Entra para o Palo Alto Networks – GlobalProtect
Configure e teste o SSO do Microsoft Entra com o Palo Alto Networks – GlobalProtect usando um usuário de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do Palo Alto Networks - GlobalProtect.
Para configurar e testar o SSO do Microsoft Entra com o Palo Alto Networks - GlobalProtect, execute as seguintes etapas:
-
Configure o SSO do Microsoft Entra para permitir que os usuários usem esse recurso.
- Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Simon.
- Atribua o usuário de teste do Microsoft Entra para habilitar B.Simon a usar o logon único do Microsoft Entra.
-
Configure o Palo Alto Networks – GlobalProtect SSO – para definir as configurações de logon único no lado do aplicativo.
- Crie um usuário de teste do Palo Alto Networks – GlobalProtect – para ter um equivalente de B.Simon no Palo Alto Networks – GlobalProtect que esteja vinculado à representação de usuário do Microsoft Entra ID.
- Testar o SSO – para verificar se a configuração funciona.
Configurar o SSO do Microsoft Entra
Siga estas etapas para habilitar o SSO do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
Navegue até Entra ID>aplicativos empresariais>Palo Alto Networks - GlobalProtect>Logon único.
Na página Selecionar um método de logon único , selecione SAML.
Na página Configurar logon único com SAML, selecione o ícone de lápis em Configuração Básica do SAML para editar as configurações.
Na seção Configuração Básica do SAML , execute as seguintes etapas:
uma. Na caixa de texto Identificador (ID da Entidade), digite uma URL usando o seguinte padrão:
https://<Customer Firewall URL>/SAML20/SPb. Na caixa de texto URL de Resposta (URL do Serviço de Consumidor de Declaração), digite uma URL usando o seguinte padrão:
https://<Customer Firewall URL>/SAML20/SP/ACSc. Na caixa de texto URL de Logon , digite uma URL usando o seguinte padrão:
https://<Customer Firewall URL>Observação
Esses valores não são reais. Atualize esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Entre em contato com a equipe de suporte do Palo Alto Networks – GlobalProtect Client para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML no Centro de administração do Microsoft Entra.
Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize o XML de Metadados de Federação e selecione Download para baixar o arquivo XML (que também contém o certificado SAML) e salvá-lo em seu computador.
Na seção Configurar o Palo Alto Networks – GlobalProtect , copie as URLs apropriadas de acordo com suas necessidades.
Criar e atribuir um usuário de teste do Microsoft Entra
Siga as diretrizes no guia de início rápido de criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.
Configurar o SSO do Palo Alto Networks – GlobalProtect
Abra o Palo Alto Networks – GlobalProtect como administrador em outra janela do navegador.
Selecione Dispositivo.
Selecione o Provedor de Identidade SAML na barra de navegação esquerda e selecione "Importar" para importar o arquivo de metadados.
Execute as ações a seguir na janela de importação
uma. Na caixa de texto Nome do Perfil , forneça um nome, como Microsoft Entra GlobalProtect.
b. Em Metadados do Provedor de Identidade, selecione Procurar e selecione o arquivo XML de Metadados de Federação que você baixou do Centro de administração do Microsoft Entra.
c. Opcional: Desmarque a validação do certificado do provedor de identidade. Se verificado, o certificado do Microsoft Entra também precisa ser carregado no firewall.
d. Selecione OK
Observação
Se o upload falhar com a mensagem de erro
Failed to parse IDP Metadata, verifique se você tem os privilégios de administrador necessários no sistema e se o nome do perfil não excede 31 caracteres.
Criar um usuário de teste do Palo Alto Networks – GlobalProtect
Nesta seção, uma usuária chamada B. Fernandes é criada no Palo Alto Networks – GlobalProtect. O Palo Alto Networks – o GlobalProtect dá suporte ao provisionamento de usuário Just-In-Time, que é habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no Palo Alto Networks – GlobalProtect, um novo será criado após a autenticação.
Testar o SSO
Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.
Selecione Testar este aplicativo, essa opção redireciona para a URL de Logon do Palo Alto Networks – GlobalProtect, na qual você pode iniciar o fluxo de logon.
Acesse a URL de Logon do Palo Alto Networks – GlobalProtect diretamente e inicie o fluxo de logon de lá.
Você pode usar os Meus Aplicativos da Microsoft. Ao selecionar o bloco Palo Alto Networks – GlobalProtect em Meus Aplicativos, você deverá ser conectado automaticamente ao Palo Alto Networks – GlobalProtect, para o qual configurou o SSO. Para obter mais informações sobre meus aplicativos, consulte Introdução aos Meus Aplicativos.
Conteúdo relacionado
Após configurar o Palo Alto Networks - GlobalProtect, é possível impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.