Configurar Palo Alto Networks - Interface do Utilizador de Administração para Início de Sessão Único com Microsoft Entra ID

2025-04-09

Neste artigo, você aprenderá a integrar Palo Alto Networks - Admin UI com o Microsoft Entra ID. Ao integrar Palo Alto Networks - Admin UI com o Microsoft Entra ID, você pode:

Controle no Microsoft Entra ID quem tem acesso a Palo Alto Networks - Admin UI.
Permita que seus usuários entrem automaticamente no Palo Alto Networks - Admin UI com suas contas do Microsoft Entra.
Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode Criar uma conta gratuitamente.
Uma das seguintes funções:

Palo Alto Networks - Assinatura habilitada para logon único (SSO) da interface do usuário do administrador.
É um requisito que o serviço seja público disponível. Consulte esta página para obter mais informações.

Descrição do cenário

Neste artigo, você configura e testa o logon único do Microsoft Entra em um ambiente de teste.

Palo Alto Networks - Admin UI suporta SSO iniciado pelo SP.
Palo Alto Networks - Admin UI suporta Just In Time provisionamento de usuários.

Adicionando Palo Alto Networks - Admin UI a partir da galeria

Para configurar a integração de Palo Alto Networks - Admin UI no Microsoft Entra ID, você precisa adicionar Palo Alto Networks - Admin UI da galeria à sua lista de aplicativos SaaS gerenciados.

Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicações em Nuvem .
Navegue até Entra ID>Enterprise apps>Novo aplicativo.
Na secção Adicionar da galeria, digite Palo Alto Networks - Admin UI na caixa de pesquisa.
Selecione Palo Alto Networks - Admin UI no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, também podes usar o Assistente de Configuração da Aplicação Empresarial . Neste assistente de configuração, pode adicionar uma aplicação ao seu tenant, adicionar utilizadores/grupos à aplicação, atribuir funções e também configurar o SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Palo Alto Networks - Admin UI

Nesta seção, você configura e testa o logon único do Microsoft Entra com Palo Alto Networks - Admin UI com base em um usuário de teste chamado B.Simon. Para que o logon único funcione, uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado em Palo Alto Networks - Admin UI precisa ser estabelecida.

Para configurar e testar o logon único do Microsoft Entra com Palo Alto Networks - Admin UI, execute as seguintes etapas:

Configurar o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
2. Atribua o usuário de teste do Microsoft Entra, para permitir que B.Simon use a autenticação única do Microsoft Entra.
Configure Palo Alto Networks - Admin UI SSO - para definir as configurações de logon único no lado da aplicação.
1. Crie Palo Alto Networks - Admin UI test user - para ter uma contraparte de B.Simon em Palo Alto Networks - Admin UI que está vinculada à representação de usuário do Microsoft Entra.
Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicações em Nuvem .
Navegue até Entra ID>Enterprise apps>Palo Alto Networks - Admin UI>Single sign-on.
Na página Selecionar um método de sessão única, selecione SAML.
Na página Configurar logon único com SAML, selecione o ícone de lápis para Configuração SAML Básica para editar as definições.

de Configuração SAML Básica
Na seção Configuração Básica do SAML, execute as seguintes etapas:

a) Na caixa Identificador, digite uma URL usando o seguinte padrão: https://<Customer Firewall FQDN>:443/SAML20/SP

b) Na caixa de texto URL de resposta, digite a URL do ACS (Assertion Consumer Service) no seguinte formato: https://<Customer Firewall FQDN>:443/SAML20/SP/ACS

c. Na caixa de texto URL de início de sessão, escreva o URL utilizando o seguinte padrão: https://<Customer Firewall FQDN>/php/login.php

Observação

Esses valores não são reais. Atualize esses valores com o identificador real, URL de resposta e URL de logon. Entre em contato com A equipa de suporte ao cliente do Admin UI da Palo Alto Networks para obter esses valores. Você também pode consultar os padrões mostrados na seção de Configuração Básica do SAML.

A porta 443 é necessária no Identificador e no URL de Resposta , pois esses valores estão programados de forma fixa no Firewall de Palo Alto. Remover o número da porta resulta em um erro durante o login, se removido.

A porta 443 é necessária no Identificador e no URL de Resposta , pois esses valores estão programados de forma fixa no Firewall de Palo Alto. Remover o número da porta resulta em um erro durante o login, se removido.
O aplicativo Palo Alto Networks - Admin UI espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

Observação

Como os valores de atributo são apenas exemplos, mapeie os valores apropriados para nome de usuário e adminrole. Há outro atributo opcional, accessdomain, que é usado para restringir o acesso de administrador a sistemas virtuais específicos no firewall.
Além disso, o aplicativo Palo Alto Networks - Admin UI espera que mais alguns atributos sejam passados de volta na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-preenchidos, mas você pode revisá-los de acordo com suas necessidades.

Nome Atributo de origem

nome de utilizador nome principal do utilizador

função de administrador administrador personalizado

Observação

O valor Nome, mostrado acima como adminrole , deve ser o mesmo valor que o atributo função Admin, que é configurado na etapa 12 da seção Configurar Redes Palo Alto - SSO da interface do usuário de administração. O valor do atributo fonte , mostrado acima como customadmin , deve ser o mesmo valor que o Nome do Perfil de Função Administrativa , que é configurado na etapa 9 da seção Configurar Redes Palo Alto - SSO da IU de Administração.
Observação

Para obter mais informações sobre os atributos, consulte os seguintes artigos:
- Perfil de função administrativa para a interface do usuário Admin (adminrole)
- Domínio de acesso do dispositivo para a interface de administração (accessdomain)
Na página Configurar Sign-On Único com SAML, na secção Certificado de Assinatura SAML, selecione Download para baixar o XML de Metadados de Federação das opções fornecidas de acordo com a sua necessidade e salvá-lo em seu computador.
Na seção Configurar Palo Alto Networks - Admin UI, copie o(s) URL(s) apropriado(s) de acordo com sua necessidade.

Nome	Atributo de origem
nome de utilizador	nome principal do utilizador
função de administrador	administrador personalizado

Criar e atribuir usuário de teste do Microsoft Entra

Siga as orientações do guia rápido para criar e atribuir uma conta de utilizador e crie uma conta de usuário de teste chamada B.Simon.

Configurar Palo Alto Networks - SSO da Interface de Administração

Abra a interface do usuário de administração do Firewall de Palo Alto Networks como administrador em uma nova janela.
Selecione o separador Dispositivo.
No painel esquerdo, selecione Provedor de Identidade SAMLe, em seguida, selecione Importar para importar o arquivo de metadados.
Na janela SAML Identify Provider Server Profile Import, faça o seguinte:

a) Na caixa Nome do Perfil, forneça um nome (por exemplo, Microsoft Entra Admin UI).

b) Em Metadados do Provedor de Identidade, selecione Procurare selecione o ficheiro de metadata.xml que você baixou anteriormente.

c. Desmarque a caixa de seleção Validar Certificado do Provedor de Identidade.

d. Selecione OK.

e. Para confirmar as configurações no firewall, selecione Confirmar.
No painel esquerdo, selecione Provedor de Identidade SAMLe, em seguida, selecione o perfil do fornecedor de identidade SAML (por exemplo, Interface de Administração de Usuário do Microsoft Entra ) que criou na etapa anterior.
Na janela Perfil do Servidor do Provedor de Identidade SAML , faça o seguinte:

a) Na caixa URL SLO do provedor de identidade, substitua a URL SLO importada anteriormente pela seguinte URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

b) Selecione OK.
Na IU de administrador do Palo Alto Networks Firewall, selecione Devicee, em seguida, selecione Admin Roles.
Selecione o botão Adicionar.
Na janela Perfil da Função de Administrador, na caixa Nome, forneça um nome para a função de administrador (por exemplo, fwadmin). O nome da função de administrador deve corresponder ao nome do atributo Função de Administrador SAML que foi enviado pelo Provedor de Identidade. O nome e o valor da função de administrador foram criados na seção Atributos Usuário.
Na IU Admin da firewall, selecione Devicee, em seguida, selecione Authentication Profile.
Selecione o botão Adicionar.
Na janela Perfil de Autenticação, faça o seguinte:

a) Na caixa Nome, forneça um nome (por exemplo, AzureSAML_Admin_AuthProfile).

b) Na lista suspensa Tipo, selecione SAML.

c. Na lista suspensa Perfil do Servidor IdP, selecione o perfil apropriado do servidor de identidade SAML (por exemplo, Microsoft Entra Admin UI).

d. Marque a caixa de seleção Ativar o Logout Único.

e. Na caixa Atributo da Função de Administrador , insira o nome do atributo (por exemplo, adminrole).

f. Selecione o separador Avançado e, em seguida, em Lista de Permissões, selecione Adicionar.

g. Marque a caixa de seleção All ou selecione os utilizadores e grupos que podem autenticar-se com este perfil.
Quando um utilizador se autentica, a firewall faz a correspondência entre o nome de utilizador ou grupo associado e as entradas nesta lista. Se você não adicionar entradas, nenhum usuário poderá se autenticar.

h. Selecione OK.
Para permitir que os administradores usem o SAML SSO usando o Azure, selecione Device>Setup. No painel Configuração, selecione o separador Gerenciamento e, em seguida, em Configurações de Autenticação, selecione o botão Configurações ("ícone").
Selecione o perfil de autenticação SAML que você criou na janela Perfil de autenticação (por exemplo, AzureSAML_Admin_AuthProfile).
Selecione OK.
Para confirmar a configuração, selecione Confirmar.

Criar usuário de teste para a interface de administração da Palo Alto Networks

Palo Alto Networks - Admin UI suporta provisionamento de usuário just-in-time. Se um usuário ainda não existir, ele será criado automaticamente no sistema após uma autenticação bem-sucedida. Nenhuma ação é necessária de você para criar o usuário.

Teste de SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

Selecione Testar esta aplicação, esta opção redireciona para Palo Alto Networks - Admin UI Sign-on URL onde você pode iniciar o fluxo de login.
Vá para Palo Alto Networks - Admin UI Sign-on URL diretamente e inicie o fluxo de login a partir daí.
Você pode usar o Microsoft My Apps. Ao selecionar o bloco Palo Alto Networks - Admin UI em Meus Aplicativos, você deve estar automaticamente conectado ao Palo Alto Networks - Admin UI para o qual você configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aoMeus Aplicativos .

Depois de configurar Palo Alto Networks - Admin UI, você pode impor o controle de sessão, que protege a exfiltração e infiltração de dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.