Tutorial: integração do Microsoft Entra ao Palo Alto Networks Captive Portal

Neste tutorial, você aprenderá a integrar o Palo Alto Networks Captive Portal ao Microsoft Entra ID. A integração do Palo Alto Networks Captive Portal ao Microsoft Entra ID oferece os seguintes benefícios:

• Controlar, no Microsoft Entra ID, quem tem acesso ao Palo Alto Networks Captive Portal.
• É possível habilitar os usuários a fazer logon automaticamente no Palo Alto Networks Captive Portal (logon único) com as respectivas contas do Microsoft Entra.
• Você pode gerenciar suas contas em um local central.

Pré-requisitos

Para integrar o Microsoft Entra ID ao Palo Alto Networks Captive Portal, você precisa dos itens a seguir:

• Uma assinatura do Microsoft Entra. Se não tiver uma assinatura do Microsoft Entra ID, poderá obter uma avaliação gratuita de um mês.
• Uma assinatura do Palo Alto Networks – Captive Portal habilitada para SSO (logon único).

Descrição do cenário

Neste tutorial, configure e teste o logon único do Microsoft Entra em um ambiente de teste.

• O Palo Alto Networks Captive Portal dá suporte ao SSO iniciado por IDP
• O Palo Alto Networks Captive Portal dá suporte ao provisionamento do usuário Just-In-Time

Adicionar Palo Alto Networks Captive Portal da galeria

Para configurar a integração do Palo Alto Networks Captive Portal ao Microsoft Entra ID, você precisará adicionar o Palo Alto Networks Captive Portal da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
3. Na seção Adicionar da galeria, digite Palo Alto Networks Captive Portal na caixa de pesquisa.
4. Selecione Palo Alto Networks Captive Portal no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra

Nesta seção, você configurará e testará o logon único do Microsoft Entra com a Palo Alto Networks Captive Portal em um usuário de teste chamado B.Simon. Para que o logon único funcione, é necessário estabelecer um relacionamento de vínculo entre um usuário do Microsoft Entra e o usuário relacionado na Palo Alto Networks Captive Portal.

Para configurar e testar o logon único do Microsoft Entra com o Palo Alto Networks Captive Portal, siga estas etapas:

1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.
   • Criar um usuário de teste do Microsoft Entra – para testar o logon único do Microsoft Entra com o usuário B.Fernandes.
   • Atribuir o usuário de teste do Microsoft Entra – configurar B.Fernandes use o logon único do Microsoft Entra.
2. Configurar o SSO do Palo Alto Networks Captive Portal – defina as configurações de logon único no aplicativo.
   • Criar um usuário de teste do Palo Alto Networks Captive Portal – para ter um equivalente de B. Fernandes no Palo Alto Networks Captive Portal vinculado à representação do usuário no Microsoft Entra.
3. Testar o SSO – verifique se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Palo Alto Networks Captive Portal>Logon único.

3. Na página Selecionar um método de logon único, escolha SAML.

4. Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

   

5. No painel Configuração Básica do SAML, realize as seguintes etapas:

   1. Para Identificador, insira uma URL com o padrão https://<customer_firewall_host_name>/SAML20/SP.

   2. Para URL de resposta, insira uma URL com o padrão https://<customer_firewall_host_name>/SAML20/SP/ACS.

      Observação

      Atualize os valores de espaço reservado nesta etapa com o identificador real e URLs de resposta. Para obter os valores reais, entre em contato com a equipe de suporte ao cliente do Palo Alto Networks – Captive Portal.

6. Na seção Certificado de autenticação SAML, ao lado de XML de metadados de federação, selecione Baixar. Salve o arquivo baixado em seu computador.

   

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
2. Navegue até Identidade>Usuários>Todos os usuários.
3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
4. Nas propriedades do Usuário, siga estas etapas:
   1. No campo Nome de exibição, insira B.Simon.
   2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
   4. Selecione Examinar + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará B.Simon a usar o logon único concedendo acesso ao Palo Alto Networks Captive Portal.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Palo Alto Networks Captive Portal.
3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
   1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
   2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
   3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Palo Alto Networks Captive Portal

Em seguida, configure o logon único do Palo Alto Networks – Captive Portal:

1. Em outra janela do navegador, entre no site Palo Alto Networks como administrador.

2. Selecione a guia Dispositivo.

   

3. No menu, selecione Provedor de identidade SAMLe, em seguida, selecione Importar.

   

4. Na caixa de diálogo Importar perfil do servidor do provedor de identidade SAML, conclua as etapas a seguir:

   

   1. Em Nome do Perfil, insira um nome, como AzureAD-CaptivePortal.

   2. Ao lado de Metadados do provedor de identidade, selecione Procurar. Selecione o arquivo metadata.xml que você baixou.

   3. Selecione OK.

Criar um usuário de teste do Palo Alto Networks – Captive Portal

Em seguida, crie um usuário chamado Brenda Fernandes no Palo Alto Networks – Captive Portal. O Palo Alto Networks – Captive Portal dá suporte ao provisionamento do usuário Just-In-Time, que é habilitado por padrão. Você não precisará concluir as tarefas nesta seção. Se um usuário ainda não existir no Palo Alto Networks – Captive Portal, um novo usuário será criado após a autenticação.

Observação

Se quiser criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente do Palo Alto Networks – Captive Portal.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

• Clique em Testar este aplicativo e você entrará automaticamente no Palo Alto Networks Captive Portal para o qual configurou o SSO

• Você pode usar os Meus Aplicativos da Microsoft. Ao clicar no bloco do Palo Alto Networks Captive Portal em Meus Aplicativos, você deverá ser conectado automaticamente ao Palo Alto Networks Captive Portal, para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Próximas etapas

Depois de configurar o Palo Alto Networks Captive Portal, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.