Tutorial: Integração do Microsoft Entra com o Palo Alto Networks Captive Portal

Neste tutorial, você aprenderá a integrar o Palo Alto Networks Captive Portal com o Microsoft Entra ID. A integração do Palo Alto Networks Captive Portal com o Microsoft Entra ID oferece os seguintes benefícios:

• Você pode controlar no Microsoft Entra ID quem tem acesso ao Palo Alto Networks Captive Portal.
• Você pode permitir que seus usuários entrem automaticamente no Palo Alto Networks Captive Portal (Single Sign-On) com suas contas do Microsoft Entra.
• Você pode gerenciar suas contas em um local central.

Pré-requisitos

Para integrar o Microsoft Entra ID com o Palo Alto Networks Captive Portal, você precisa dos seguintes itens:

• Uma assinatura do Microsoft Entra. Se não tiver o Microsoft Entra ID, pode obter uma versão de avaliação de um mês.
• Uma assinatura habilitada para logon único (SSO) do Palo Alto Networks Captive Portal.

Descrição do cenário

Neste tutorial, você configura e testa o logon único do Microsoft Entra em um ambiente de teste.

• Palo Alto Networks Captive Portal suporta SSO iniciado por IDP
• Palo Alto Networks Captive Portal suporta provisionamento de usuários Just In Time

Adicionando Palo Alto Networks Captive Portal da galeria

Para configurar a integração do Palo Alto Networks Captive Portal no Microsoft Entra ID, você precisa adicionar o Palo Alto Networks Captive Portal da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
3. Na seção Adicionar da galeria, digite Palo Alto Networks Captive Portal na caixa de pesquisa.
4. Selecione Palo Alto Networks Captive Portal no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO

Nesta seção, você configura e testa o logon único do Microsoft Entra com o Palo Alto Networks Captive Portal com base em um usuário de teste chamado B.Simon. Para que o logon único funcione, uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Portal Cativo da Palo Alto Networks precisa ser estabelecida.

Para configurar e testar o logon único do Microsoft Entra com o Palo Alto Networks Captive Portal, execute as seguintes etapas:

1. Configurar o Microsoft Entra SSO - Permitir que o usuário use esse recurso.
   • Criar um usuário de teste do Microsoft Entra - Teste o logon único do Microsoft Entra com o usuário B.Simon.
   • Atribua o usuário de teste do Microsoft Entra - Configure B.Simon para usar o logon único do Microsoft Entra.
2. Configure Palo Alto Networks Captive Portal SSO - Configure as configurações de logon único no aplicativo.
   • Criar um usuário de teste do Portal Cativo da Palo Alto Networks - para ter uma contraparte de B.Simon no Portal Cativo da Palo Alto Networks que esteja vinculada à representação do usuário do Microsoft Entra.
3. Teste SSO - Verifique se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>Palo Alto Networks Captive Portal>Single sign-on.

3. Na página Selecione um método de logon único, selecione SAML.

4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

   

5. No painel Configuração Básica do SAML, execute as seguintes etapas:

   1. Em Identificador, insira uma URL que tenha o padrão https://<customer_firewall_host_name>/SAML20/SP.

   2. Em URL de resposta, insira uma URL que tenha o padrão https://<customer_firewall_host_name>/SAML20/SP/ACS.

      Nota

      Atualize os valores de espaço reservado nesta etapa com o identificador real e as URLs de resposta. Para obter os valores reais, entre em contato com a equipe de suporte ao cliente do Portal Cativo da Palo Alto Networks.

6. Na seção Certificado de Assinatura SAML, ao lado de XML de Metadados de Federação, selecione Download. Salve o arquivo baixado no seu computador.

   

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
2. Navegue até Identidade>de usuários Todos os usuários.>
3. Selecione Novo usuário Criar novo usuário>, na parte superior da tela.
4. Nas propriedades do usuário , siga estas etapas:
   1. No campo Nome para exibição , digite B.Simon.
   2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
   4. Selecione Rever + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao Portal Cativo da Palo Alto Networks.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identity>Applications>Enterprise applications>Palo Alto Networks Captive Portal.
3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
   1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
   2. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
   3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Portal Cativo de Redes de Palo Alto

Em seguida, configure o logon único no Portal Cativo da Palo Alto Networks:

1. Em uma janela diferente do navegador, entre no site da Palo Alto Networks como administrador.

2. Selecione a guia Dispositivo .

   

3. No menu, selecione SAML Identity Provider e, em seguida, selecione Importar.

   

4. Na caixa de diálogo Importação de Perfil do Servidor do Provedor de Identidade SAML , conclua as seguintes etapas:

   

   1. Em Nome do perfil, insira um nome, como AzureAD-CaptivePortal.

   2. Ao lado de Metadados do provedor de identidade, selecione Procurar. Selecione o arquivo .xml metadados que você baixou.

   3. Selecione OK.

Criar um usuário de teste do Portal Cativo da Palo Alto Networks

Em seguida, crie um usuário chamado Britta Simon no Portal Cativo da Palo Alto Networks. O Palo Alto Networks Captive Portal suporta o provisionamento de usuários just-in-time, que é habilitado por padrão. Você não precisa concluir nenhuma tarefa nesta seção. Se um usuário ainda não existir no Palo Alto Networks Captive Portal, um novo será criado após a autenticação.

Nota

Se você quiser criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente do Portal Cativo da Palo Alto Networks.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Clique em Testar este aplicativo e você deve estar automaticamente conectado ao Portal Cativo da Palo Alto Networks para o qual você configurou o SSO

• Você pode usar o Microsoft My Apps. Ao clicar no bloco Palo Alto Networks Captive Portal no My Apps, você deve estar automaticamente conectado ao Palo Alto Networks Captive Portal para o qual você configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Próximos passos

Depois de configurar o Palo Alto Networks Captive Portal, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.