Integrace Microsoft Entra s portálem Palo Alto Networks v kaptivním portálu
V tomto článku se dozvíte, jak integrovat Captive Portal od Palo Alto Networks s Microsoft Entra ID. Integrace Captive Portalu Palo Alto Networks s Microsoft Entra ID poskytuje následující výhody:
- V Microsoft Entra ID můžete řídit, kdo má přístup k systému Palo Alto Networks Captive Portal.
- Uživatelům můžete povolit, aby se pomocí svých účtů Microsoft Entra automaticky přihlásili k portálu Palo Alto Networks v kaptivním portálu (Single Sign-On).
- Účty můžete spravovat v jednom centrálním umístění.
Požadavky
Scénář popsaný v tomto článku předpokládá, že již máte následující požadavky:
- Uživatelský účet Microsoft Entra s aktivním předplatným. Pokud ho ještě nemáte, můžete si vytvořit účet zdarma.
- Jedna z následujících rolí:
- Předplatné s podporou jednotného přihlašování (SSO) v systému Captive Portal od Palo Alto Networks.
Popis scénáře
V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.
- Captive Portal Palo Alto Networks podporuje IDP iniciované jednotné přihlašování .
- Zachytávací portál Palo Alto Networks podporuje právě včasné zřizování uživatelů
Přidání portálu Palo Alto Networks v kaptivním portálu z galerie
Pokud chcete nakonfigurovat integraci Captive Portalu Palo Alto Networks do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat Captive Portal Palo Alto Networks z galerie.
- Přihlaste se do centra pro správu Microsoft Entra alespoň jako Správce Cloudových Aplikací.
- Přejděte na Identita>Aplikace>Podnikové aplikace>Nová aplikace.
- Do části Přidat z galerie zadejte do vyhledávacího pole Palo Alto Networks Captive Portal.
- Na panelu výsledků vyberte Palo Alto Networks Captive Portal a poté přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.
Alternativně můžete také použít průvodce konfigurací podnikové aplikace . V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Další informace o průvodcích Microsoft 365
Konfigurace a testování jednotného přihlašování Microsoft Entra
V této části nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra s Captive Portálem Palo Alto Networks s testovacím uživatelem jménem B.Simon. Aby jednotné přihlašování fungovalo, je potřeba zajistit propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v systému Palo Alto Networks Captive Portal.
Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra v rámci kaptivního portálu Palo Alto Networks, proveďte následující kroky:
-
Konfigurace jednotného přihlašování microsoftu Entra – Povolte uživateli, aby tuto funkci používal.
- Vytvoření testovacího uživatele Microsoft Entra – otestujte jednotné přihlašování Microsoft Entra pomocí uživatele B.Simon.
- Přiřadit testovacího uživatele Microsoft Entra – nastavte B.Simon tak, aby používal jednotné přihlašování Microsoft Entra.
-
konfigurace jednotného přihlašování k portálu Palo Alto Networks sso – nakonfigurujte nastavení jednotného přihlašování v aplikaci.
- Vytvořte testovacího uživatele v Captive Portalu Palo Alto Networks - aby měl protějšek uživatele B.Simon v Captive Portalu Palo Alto Networks, který je propojen s reprezentací uživatele v Microsoft Entra.
- test jednotného přihlašování – Ověřte, že konfigurace funguje.
Konfigurace jednotného přihlašování Microsoft Entra
Postupujte podle těchto kroků k povolení Microsoft Entra SSO.
Přihlaste se do centra pro správu Microsoft Entra alespoň jako správcecloudových aplikací.
Přejděte na Identity>Applications>Enterprise aplikace>Palo Alto Networks Captive Portal>jednotného přihlašování.
Na stránce Vyberte metodu jednotného přihlašování vyberte SAML.
Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro Základní konfigurace SAML a upravte nastavení.
V podokně Základní konfigurace SAML proveďte následující kroky:
Pro identifikátor zadejte adresu URL, která má vzor
https://<customer_firewall_host_name>/SAML20/SP
.Do pole Adresa URL odpovědizadejte adresu URL, která má vzor
https://<customer_firewall_host_name>/SAML20/SP/ACS
.Poznámka
Aktualizujte zástupné hodnoty v tomto kroku skutečným identifikátorem a adresami URL pro odpovědi. Pokud chcete získat skutečné hodnoty, obraťte se na tým podpory klienta Palo Alto Networks Captive Portal.
V části Podpisový certifikát SAML vedle XML federačních metadatvyberte Stáhnout. Uložte stažený soubor do počítače.
Vytvoření testovacího uživatele Microsoft Entra
V této části vytvoříte testovacího uživatele s názvem B.Simon.
- Přihlaste se do Microsoft Entra centra pro správu alespoň jako Správce uživatelů.
- Přejděte na Identity>Uživatelé>Všichni uživatelé.
- V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
- Ve vlastnostech User postupujte takto:
- Do pole Zobrazovaný název zadejte
B.Simon
. - Do pole Hlavní název uživatele zadejte username@companydomain.extension. Například
B.Simon@contoso.com
. - Zaškrtněte políčko Zobrazit heslo a poznamenejte si hodnotu zobrazenou v poli Heslo.
- Vyberte Zkontrolovat a vytvořit.
- Do pole Zobrazovaný název zadejte
- Vyberte Vytvořit.
Přiřazení testovacího uživatele Microsoft Entra
V této části povolíte B.Simonovi používat jednotné přihlašování tím, že mu udělíte přístup k Captive Portalu Palo Alto Networks.
- Přihlaste se do centra pro správu Microsoft Entra alespoň jako Cloudový správce aplikací.
- Přejděte na Identita>Aplikace>Podnikové aplikace>Návratový portál Palo Alto Networks.
- Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
- Vyberte Přidat uživatele nebo skupiny, pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
- V dialogovém okně Uživatelé a skupiny vyberte v seznamu Uživatelé B.Simon a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
- Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli. Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
- V dialogovém okně Přidat úkol klikněte na tlačítko Přiřadit.
Nastavení SSO pro Captive Portal od Palo Alto Networks
Dále nastavte jednotné přihlašování v Portálu pro autorizaci Palo Alto Networks:
V jiném okně prohlížeče se přihlaste k webu Palo Alto Networks jako správce.
Vyberte kartu Zařízení.
V nabídce vyberte Zprostředkovatel identity SAMLa poté vyberte Importovat.
V dialogovém okně Import profilu serveru zprostředkovatele identity SAML proveďte následující kroky:
Jako název profiluzadejte název, například
AzureAD-CaptivePortal
.Vedle metadat zprostředkovatele identityvyberte Procházet. Vyberte metadata.xml soubor, který jste stáhli.
Vyberte OK.
Vytvořte testovacího uživatele pro kaptivní portál Palo Alto Networks.
Dále vytvořte uživatele s názvem Britta Simon v Palo Alto Networks Captive Portal. Captive Portal Palo Alto Networks podporuje okamžité zřizování uživatelů, které je ve výchozím nastavení povoleno. V této části nemusíte provádět žádné úkoly. Pokud uživatel ještě v kaptivním portálu Palo Alto Networks neexistuje, vytvoří se nový po autentizaci.
Poznámka
Pokud chcete vytvořit uživatele ručně, obraťte se na podporu Palo Alto Networks klienta Captive Portalu.
Testování jednotného přihlašování
V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.
Klikněte na Otestovat tuto aplikacia měli byste být automaticky přihlášeni k portálu Captive Palo Alto Networks, pro který jste nastavili jednotné přihlašování.
Můžete použít Microsoft My Apps. Když kliknete na dlaždici Palo Alto Networks Captive Portal v aplikaci Moje aplikace, měli byste být automaticky přihlášeni k Palo Alto Networks Captive Portal, pro který jste nastavili jednotné přihlašování. Pro více informací o My Apps viz Úvod doMy Apps.
Související obsah
Jakmile nakonfigurujete portál Palo Alto Networks, můžete vynutit kontrolu nad relacemi, která chrání před exfiltrací a infiltrací citlivých dat vaší organizace v reálném čase. Řízení relací vychází z podmíněného přístupu. Naučte se vynucovat řízení relací pomocí programu Microsoft Defender for Cloud Apps.