Öğretici: Palo Alto Networks ile Microsoft Entra SSO tümleştirmesi - Yönetici kullanıcı arabirimi

Bu öğreticide Palo Alto Networks - Yönetici kullanıcı arabirimini Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. Palo Alto Networks - Yönetici kullanıcı arabirimini Microsoft Entra ID ile tümleştirdiğinizde şunları yapabilirsiniz:

• Microsoft Entra Id'de Palo Alto Networks - Yönetici kullanıcı arabirimine kimlerin erişimi olduğunu denetleyin.
• Kullanıcılarınızın Otomatik olarak Palo Alto Networks'te oturum açmasını sağlama - Kullanıcı arabirimini Microsoft Entra hesaplarıyla Yönetici.
• Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

• Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
• Palo Alto Networks - kullanıcı arabirimi çoklu oturum açma (SSO) özellikli aboneliği Yönetici.
• Hizmetin genel kullanıma açık olması gerekir. Daha fazla bilgi için lütfen bu sayfaya bakın.

Senaryo açıklaması

Bu öğreticide, bir test ortamında Microsoft Entra çoklu oturum açmayı yapılandırıp test edin.

• Palo Alto Networks - Yönetici kullanıcı arabirimi SP tarafından başlatılan SSO'yu destekler.
• Palo Alto Networks - Yönetici kullanıcı arabirimi Tam Zamanında kullanıcı sağlamayı destekler.

Palo Alto Networks Ekleme - Galeriden kullanıcı arabirimi Yönetici

Palo Alto Networks - Yönetici kullanıcı arabiriminin Microsoft Entra ID ile tümleştirilmesini yapılandırmak için, galerideki Palo Alto Networks - Yönetici kullanıcı arabirimini yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
3. Galeriden ekle bölümünde, arama kutusuna Palo Alto Networks - Yönetici ui yazın.
4. Sonuçlar panelinden Palo Alto Networks - Yönetici kullanıcı arabirimi'ni seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

Palo Alto Networks için Microsoft Entra SSO yapılandırma ve test - Yönetici kullanıcı arabirimi

Bu bölümde, B.Simon adlı bir test kullanıcısına dayalı olarak Palo Alto Networks - Yönetici kullanıcı arabirimi ile Microsoft Entra çoklu oturum açmayı yapılandırıp test edin. Çoklu oturum açmanın çalışması için, Bir Microsoft Entra kullanıcısı ile Palo Alto Networks'teki ilgili kullanıcı arasındaki bağlantı ilişkisi - Yönetici kullanıcı arabiriminin kurulması gerekir.

Palo Alto Networks - Yönetici kullanıcı arabirimiyle Microsoft Entra çoklu oturum açmayı yapılandırmak ve test etmek için aşağıdaki adımları uygulayın:

1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
   1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
   2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
2. Uygulama tarafında çoklu oturum açma ayarlarını yapılandırmak için Palo Alto Networks'i (kullanıcı arabirimi SSO'sunun Yönetici) yapılandırın.
   1. Kullanıcının Microsoft Entra gösterimine bağlı kullanıcı arabirimi Yönetici Palo Alto Networks'de B.Simon'ın bir karşılığına sahip olmak için Kullanıcı arabirimi test kullanıcısı Yönetici Palo Alto Networks oluşturun.
3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Palo Alto Networks - Yönetici Ui>Çoklu oturum açma'ya göz atın.

3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

4. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

   

5. Temel SAML Yapılandırması bölümünde aşağıdaki adımları gerçekleştirin:

   a. Tanımlayıcı kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<Customer Firewall FQDN>:443/SAML20/SP

   b. Yanıt URL'si metin kutusuna Onay Tüketici Hizmeti (ACS) URL'sini aşağıdaki biçimde yazın:https://<Customer Firewall FQDN>:443/SAML20/SP/ACS

   c. Oturum açma URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<Customer Firewall FQDN>/php/login.php

   Not

   Bu değerler gerçek değildir. Bu değerleri gerçek Tanımlayıcı, Yanıt URL'si ve Oturum açma URL'si ile güncelleştirin. Bu değerleri almak için Palo Alto Networks - Yönetici UI İstemcisi destek ekibine başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.

   Bu değerler Palo Alto Güvenlik Duvarı'na sabit kodlandığından Tanımlayıcı ve Yanıt URL'sinde 443 numaralı bağlantı noktası gereklidir. Bağlantı noktası numarasının kaldırılması, kaldırılırsa oturum açma sırasında hataya neden olur.

   Bu değerler Palo Alto Güvenlik Duvarı'na sabit kodlandığından Tanımlayıcı ve Yanıt URL'sinde 443 numaralı bağlantı noktası gereklidir. Bağlantı noktası numarasının kaldırılması, kaldırılırsa oturum açma sırasında hataya neden olur.

6. Palo Alto Networks - Yönetici UI uygulaması SAML onaylarını belirli bir biçimde bekler ve bu da SAML belirteç öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir.

   

   Not

   Öznitelik değerleri yalnızca örnek olduğundan, kullanıcı adı ve yönetici için uygun değerleri eşleyin. Yönetici erişimini güvenlik duvarındaki belirli sanal sistemlere kısıtlamak için kullanılan başka bir isteğe bağlı accessdomain özniteliği vardır.

7. Yukarıdakilere ek olarak, Palo Alto Networks - Yönetici UI uygulaması aşağıda gösterilen SAML yanıtında birkaç özniteliğin daha geri geçirilmesini bekler. Bu öznitelikler de önceden doldurulmuş olsa da gereksinimlerinize göre bunları gözden geçirebilirsiniz.

   Veri Akışı Adı	Kaynak Özniteliği
   username	user.userprincipalname
   adminrole	customadmin

   Not

   Yukarıda adminrole olarak gösterilen Ad değeri, Palo Alto Ağlarını Yapılandırma - Yönetici UI SSO bölümünün 12. adımında yapılandırılan Yönetici rol özniteliğiyle aynı değer olmalıdır. Yukarıda customadmin olarak gösterilen Kaynak Öznitelik değeri, Palo Alto Ağlarını Yapılandırma - Yönetici UI SSO bölümünün 9. adımında yapılandırılan Yönetici Rol Profili Adı ile aynı değer olmalıdır.

   Not

   Öznitelikler hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

   • Yönetici kullanıcı arabirimi için Yönetici istrative rol profili (adminrole)
   • Yönetici kullanıcı arabirimi (accessdomain) için cihaz erişim etki alanı

8. SAML ile Çoklu Oturum Açmayı Ayarla sayfasındaki SAML İmzalama Sertifikası bölümünde, gereksinimlerinize göre verilen seçeneklerden Federasyon Meta Verileri XML'sini indirmek ve bilgisayarınıza kaydetmek için İndir'e tıklayın.

   

9. Palo Alto Ağlarını Ayarlama - kullanıcı arabirimi Yönetici bölümünde, gereksinimlerinize uygun URL'leri kopyalayın.

   

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
   1. Görünen ad alanına girinB.Simon.
   2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
   3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
   4. Gözden geçir ve oluştur’u seçin.
5. Oluştur'u belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, Palo Alto Networks - Yönetici kullanıcı arabirimine erişim vererek B.Simon'un çoklu oturum açmayı kullanmasını sağlayacaksınız.

1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Palo Alto Networks - Yönetici kullanıcı arabirimine göz atın.
3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
4. Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
   1. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
   2. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
   3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

Palo Alto Ağlarını Yapılandırma - Yönetici UI SSO

1. Palo Alto Networks Güvenlik Duvarı Yönetici kullanıcı arabirimini yeni bir pencerede yönetici olarak açın.

2. Cihaz sekmesini seçin.

   

3. Sol bölmede SAML Kimlik Sağlayıcısı'nı ve ardından İçeri Aktar'ı seçerek meta veri dosyasını içeri aktarın.

   

4. SAML Tanımlayıcı Sağlayıcı Sunucusu Profili İçeri Aktarma penceresinde aşağıdakileri yapın:

   

   a. Profil Adı kutusunda bir ad girin (örneğin, Microsoft Entra Yönetici kullanıcı arabirimi).

   b. Kimlik Sağlayıcısı Meta Verileri'nin altında Gözat'ı seçin ve daha önce indirdiğiniz metadata.xml dosyasını seçin.

   c. Kimlik Sağlayıcısı Sertifikasını Doğrula onay kutusunu temizleyin.

   d. Tamam'ı seçin.

   e. Güvenlik duvarındaki yapılandırmaları işlemek için İşle'yi seçin.

5. Sol bölmede SAML Kimlik Sağlayıcısı'nı seçin ve ardından önceki adımda oluşturduğunuz SAML Kimlik Sağlayıcısı Profili'ni (örneğin, Microsoft Entra Yönetici ui) seçin.

   

6. SAML Kimlik Sağlayıcısı Sunucu Profili penceresinde aşağıdakileri yapın:

   

   a. Kimlik Sağlayıcısı SLO URL'si kutusunda, daha önce içeri aktarılan SLO URL'sini aşağıdaki URL ile değiştirin:https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

   b. Tamam'ı seçin.

7. Palo Alto Networks Güvenlik Duvarı'nın Yönetici kullanıcı arabiriminde Cihaz'ı ve ardından Yönetici Roller'i seçin.

8. Ekle düğmesini seçin.

9. Yönetici Rol Profili penceresindeki Ad kutusunda yönetici rolü için bir ad girin (örneğin, fwadmin). Yönetici rolü adı, Kimlik Sağlayıcısı tarafından gönderilen SAML Yönetici Rol öznitelik adıyla eşleşmelidir. Yönetici rolü adı ve değeri Kullanıcı Öznitelikleri bölümünde oluşturulmuştur.

   

10. Güvenlik duvarının Yönetici kullanıcı arabiriminde Cihaz'ı ve ardından Kimlik Doğrulama Profili'ni seçin.

11. Ekle düğmesini seçin.

12. Kimlik Doğrulama Profili penceresinde aşağıdakileri yapın:

    

    a. Ad kutusunda bir ad girin (örneğin, AzureSAML_Yönetici_AuthProfile).

    b. Tür açılan listesinde SAML'yi seçin.

    c. IdP Sunucu Profili açılan listesinde uygun SAML Kimlik Sağlayıcısı Sunucusu profilini (örneğin, Microsoft Entra Yönetici Kullanıcı Arabirimi) seçin.

    d. Tek Oturumu Kapat'ı Etkinleştir onay kutusunu seçin.

    e. Yönetici Rol Özniteliği kutusuna öznitelik adını girin (örneğin, yönetici).

    f. Gelişmiş sekmesini seçin ve ardından listeye izin ver'in altında Ekle'yi seçin.

    

    r. Tümü onay kutusunu seçin veya bu profille kimlik doğrulaması yapabilecek kullanıcıları ve grupları seçin.
    Kullanıcı kimlik doğrulamasından geçtiğinde, güvenlik duvarı ilişkili kullanıcı adı veya grupla bu listedeki girişlerle eşleşir. Girdi eklemezseniz, hiçbir kullanıcı kimlik doğrulaması yapamaz.

    h. Tamam'ı seçin.

13. Yöneticilerin Azure kullanarak SAML SSO kullanmasını sağlamak için Cihaz>Kurulumu'nu seçin. Kurulum bölmesinde Yönetim sekmesini seçin ve kimlik doğrulama Ayarlar altında Ayarlar ("dişli") düğmesini seçin.

    

14. Kimlik Doğrulama Profili penceresinde oluşturduğunuz SAML Kimlik Doğrulama profilini seçin (örneğin, AzureSAML_Yönetici_AuthProfile).

    

15. Tamam'ı seçin.

16. Yapılandırmayı işlemek için İşle'yi seçin.

Palo Alto Networks oluşturma - Yönetici kullanıcı arabirimi test kullanıcısı

Palo Alto Networks - Yönetici kullanıcı arabirimi tam zamanında kullanıcı sağlamayı destekler. Kullanıcı henüz yoksa, başarılı bir kimlik doğrulamasından sonra otomatik olarak sistemde oluşturulur. Kullanıcıyı oluşturmak için herhangi bir eylem yapmanız gerekmez.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

• Bu uygulamayı test et'e tıklayın; bu, oturum açma akışını başlatabileceğiniz Palo Alto Networks - Yönetici UI Oturum Açma URL'sine yönlendirilir.

• Doğrudan Palo Alto Networks - Yönetici UI Oturum Açma URL'sine gidin ve oturum açma akışını buradan başlatın.

• Microsoft Uygulamalarım kullanabilirsiniz. Uygulamalarım Palo Alto Networks - Yönetici UI kutucuğuna tıkladığınızda, SSO'yu ayarladığınız Palo Alto Networks - Yönetici kullanıcı arabiriminde otomatik olarak oturum açmanız gerekir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

Palo Alto Networks - Yönetici kullanıcı arabirimini yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.