Condividi tramite


Integrazione di Microsoft Entra e Palo Alto Networks Captive Portal

Questo articolo illustra come integrare Palo Alto Networks Captive Portal con Microsoft Entra ID. L'integrazione di Palo Alto Networks Captive Portal con Microsoft Entra ID offre i vantaggi seguenti:

  • È possibile controllare in Microsoft Entra ID chi può accedere a Palo Alto Networks Captive Portal.
  • È possibile abilitare gli utenti per l'accesso automatico a Palo Alto Networks Captive Portal (single Sign-On) con gli account Microsoft Entra personali.
  • È possibile gestire gli account in una posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

  • Sottoscrizione abilitata per il Single Sign-On (SSO) del Captive Portal di Palo Alto Networks.

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso Single Sign-On di Microsoft Entra in un ambiente di test.

  • Palo Alto Networks Captive Portal supporta l'SSO avviato da IDP
  • Palo Alto Networks Captive Portal supporta provisioning utenti JIT

Per configurare l'integrazione di Palo Alto Networks Captive Portal in Microsoft Entra ID, è necessario aggiungere Palo Alto Networks Captive Portal dalla raccolta all'elenco di app SaaS gestite.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore di applicazioni cloud .
  2. Vai a Identity>Applications>Enterprise applications>New application.
  3. Nella sezione Aggiungi dalla galleria, digitare Palo Alto Networks Captive Portal nella casella di ricerca.
  4. Selezionare Palo Alto Networks Captive Portal nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tenant.

In alternativa, è anche possibile usare la Procedura guidata di configurazione delle app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso Single Sign-On di Microsoft Entra

In questa sezione viene configurato e testato l'accesso Single Sign-On di Microsoft Entra con Palo Alto Networks Captive Portal usando un utente di test di nome B.Simon. Per il corretto funzionamento dell'accesso Single Sign-On, deve essere stabilita una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Palo Alto Networks Captive Portal.

Per configurare e testare l'accesso Single Sign-On di Microsoft Entra con Palo Alto Networks Captive Portal, seguire questa procedura:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra - Attivare la possibilità per l'utente di utilizzare questa funzionalità.
  2. Configurare l'accesso Single Sign-On di Palo Alto Networks Captive Portal : configurare le impostazioni di Single Sign-On nell'applicazione.
  3. Test SSO: verificare il funzionamento della configurazione.

Configurare l'autenticazione unica Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

  1. Accedi al centro di amministrazione di Microsoft Entra come almeno un Cloud Application Administrator .

  2. Passare a Identità>applicazioni aziendali>Enterprise>Palo Alto Networks Captive Portal>autenticazione unica.

  3. Nella pagina Selezionare un metodo di Single Sign-On, selezionare SAML.

  4. Nella pagina Configura l'accesso Single Sign-On con SAML, fare clic sull'icona a forma di matita accanto a Configurazione SAML di base per modificare le impostazioni.

    Modificare la configurazione SAML di base

  5. Nel riquadro configurazione SAML di base seguire questa procedura:

    1. Per Identificatoreimmettere un URL con il modello https://<customer_firewall_host_name>/SAML20/SP.

    2. Per URL di risposta, immettere un URL con il modello https://<customer_firewall_host_name>/SAML20/SP/ACS.

      Nota

      Aggiorna i valori segnaposto in questo passaggio con l'identificatore reale e gli URL di risposta. Per ottenere i valori effettivi, contattare team di supporto clienti di Palo Alto Networks Captive Portal.

  6. Nella sezione Certificato di firma SAML, accanto a metadati di federazione XML, selezionare Scarica. Salvare il file scaricato nel computer.

    collegamento per il download di XML dei metadati della federazione

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore Utente .
  2. Passare a Identità>Utenti>Tutti gli utenti.
  3. Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
  4. Nelle proprietà User seguire questa procedura:
    1. Nel campo Nome visualizzato immettere B.Simon.
    2. Nel campo Nome utente principale immettere il username@companydomain.extension. Ad esempio, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
    4. Selezionare Rivedi e crea.
  5. Selezionare Crea.

Assegnare l'utente di test di Microsoft Entra

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On concedendole l'accesso a Palo Alto Networks Captive Portal.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore di applicazioni cloud.
  2. Accedere a Identity>Applications>Enterprise applications>Palo Alto Networks Captive Portal.
  3. Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente/gruppo, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
    1. Nella finestra di dialogo utenti e gruppi selezionare B.Simon dall'elenco Utenti, quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
    2. Se si prevede che un ruolo venga assegnato agli utenti, è possibile selezionarlo dall'elenco a discesa Selezionare un ruolo. Se non è stato configurato alcun ruolo per questa app, viene visualizzato il ruolo "Accesso predefinito" selezionato.
    3. Nella finestra di dialogo Aggiungi assegnazione, fare clic sul pulsante Assegna.

Configurare il Captive Portal SSO di Palo Alto Networks

Successivamente, configura Single Sign-On nel Captive Portal di Palo Alto Networks.

  1. In un'altra finestra del browser accedere al sito Web palo Alto Networks come amministratore.

  2. Selezionare la scheda dispositivo.

    scheda Dispositivo del sito Web Palo Alto Networks

  3. Nel menu selezionare SAML Identity Providere quindi selezionare Importa.

    il pulsante Importa

  4. Nella finestra di dialogo SAML Identity Provider Server Profile Import (Importazione profilo server provider di identità SAML), seguire i passaggi seguenti:

    Configurare l'accesso singolo di Palo Alto Networks

    1. Per Nome profiloimmettere un nome, ad esempio AzureAD-CaptivePortal.

    2. Accanto a Metadati del provider di identità, selezionare Sfoglia. Selezionare il file metadata.xml scaricato.

    3. Selezionare OK.

Creare un utente di test di Palo Alto Networks Captive Portal

Creare quindi un utente denominato Britta Simon in Palo Alto Networks Captive Portal. Il Captive Portal di Palo Alto Networks supporta il provisioning Just-In-Time (JIT) degli utenti, che è abilitato per impostazione predefinita. Non è necessario completare alcuna attività in questa sezione. Se non esiste già un utente in Palo Alto Networks Captive Portal, ne viene creato uno nuovo dopo l'autenticazione.

Nota

Per creare un utente manualmente, contattare il team di supporto clienti di Palo Alto Networks Captive Portal .

Test SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

  • Fare clic su Testa questa applicazionee dovresti essere automaticamente connesso al portale captive Palo Alto Networks per il quale hai configurato l'SSO.

  • È possibile usare Microsoft My Apps. Quando si fa clic sul riquadro di Palo Alto Networks Captive Portal in My Apps, si dovrebbe accedere automaticamente all'applicazione Palo Alto Networks Captive Portal per cui si è configurato l'accesso SSO. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.

Dopo aver configurato Palo Alto Networks Captive Portal, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.