Интеграция Microsoft Entra с Palo Alto Networks Captive Portal

В этой статье вы узнаете, как интегрировать Palo Alto Networks Captive Portal с идентификатором Microsoft Entra ID. Интеграция Palo Alto Networks Captive Portal с идентификатором Microsoft Entra ID обеспечивает следующие преимущества:

• Вы можете управлять доступом к Palo Alto Networks Captive Portal через Microsoft Entra ID.
• Вы можете включить автоматический вход пользователей в Palo Alto Networks Captive Portal (single Sign-On) с помощью учетных записей Microsoft Entra.
• Вы можете управлять учетными записями в одном центральном расположении.

Необходимые условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • администратор облачных приложений
  • хозяин приложения.

• Подписка Palo Alto Networks Captive Portal с поддержкой SSO (единого входа).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Palo Alto Networks Captive Portal поддерживает единый вход, инициированный поставщиком удостоверений
• Palo Alto Networks Captive Portal поддерживает своевременное предоставление пользователей.

Добавление Palo Alto Networks Captive Portal из галереи.

Чтобы настроить интеграцию Palo Alto Networks Captive Portal с идентификатором Microsoft Entra ID, необходимо добавить Palo Alto Networks Captive Portal из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора облачных приложений .
2. Перейдите к приложениям>Идентификации>Корпоративным>Новому приложению.
3. В разделе "Добавить из галереи" в поле поиска введите Palo Alto Networks Captive Portal.
4. Выберите Palo Alto Networks Captive Portal на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra

В этом разделе вы настраиваете и проверяете единый вход Microsoft Entra в Palo Alto Networks Captive Portal с использованием тестового пользователя B.Simon. Чтобы единый вход работал, необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Palo Alto Networks Captive Portal.

Чтобы настроить и проверить единый вход Microsoft Entra в Palo Alto Networks Captive Portal, выполните следующие действия.

1. Настройте единый вход Microsoft Entra - разрешите пользователю использовать эту функцию.
   • создание тестового пользователя Microsoft Entra . Проверка единого входа Microsoft Entra с помощью пользователя B.Simon.
   • Назначьте тестового пользователя Microsoft Entra . Настройте B.Simon для использования единого входа Microsoft Entra.
2. Настроить Palo Alto Networks Captive Portal SSO. Настройка параметров единого входа (SSO) в приложении.
   • Создайте тестового пользователя в Palo Alto Networks Captive Portal, который будет аналогом пользователя B.Simon и будет связан с представлением пользователя в Microsoft Entra.
3. Тест SSO. Убедитесь, что конфигурация работает.

Настроить SSO Microsoft Entra

Выполните следующие действия, чтобы включить Microsoft Entra SSO.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора облачных приложений по крайней мере.

2. Перейдите к идентификационным>приложениям>корпоративным>приложением Palo Alto Networks Captive Portal>Система единого входа.

3. На странице Выбор метода единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. В области базовой конфигурации SAML выполните следующие действия.

   1. Для идентификаторавведите URL-адрес, имеющий шаблон https://<customer_firewall_host_name>/SAML20/SP.

   2. Для URL-адреса ответавведите URL-адрес, имеющий шаблон https://<customer_firewall_host_name>/SAML20/SP/ACS.

      Заметка

      Обновите значения заполнителей на этом шаге с помощью фактических URL-адресов идентификатора и ответа. Чтобы получить фактические значения, обратитесь в службу поддержки клиентов Palo Alto Networks Captive Portal.

6. В разделе Сертификат подписи SAML рядом с файлом XML метаданных федерации выберите Загрузить. Сохраните скачанный файл на компьютере.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в центр администрирования Microsoft Entra как минимум с правами администратора пользователей.
2. Перейдите на Identity>Users>All users.
3. Выберите Новый пользователь>Создать нового пользователяв верхней части экрана.
4. В свойствах user выполните следующие действия.
   1. В поле Отображаемое имя введите B.Simon.
   2. В поле имя учетной записи пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
   4. Выберите Проверка и создание.
5. Выберите Создать.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Palo Alto Networks Captive Portal.

1. Войдите в центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.
2. Перейдите к Identity>приложениям>корпоративным приложениям>Palo Alto Networks Captive Portal.
3. На странице обзора приложения выберите Пользователи и группы.
4. Выберите Добавить пользователя/группу, затем выберите Пользователи и группы в диалоговом окне Добавление назначения.
   1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
   2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не настроена роль, вы увидите, что выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление задачи нажмите кнопку Назначить.

Настройка единого входа в Palo Alto Networks Captive Portal

Затем настройте единый вход в Palo Alto Networks Captive Portal:

1. В другом окне браузера войдите на веб-сайт Palo Alto Networks в качестве администратора.

2. Выберите вкладку устройства .

   

3. В меню выберите поставщик удостоверений SAML, а затем выберите Импорт.

   

4. В диалоговом окне «Импорт профиля сервера поставщика удостоверений SAML» выполните следующие шаги:

   

   1. Для имени профилявведите имя, например AzureAD-CaptivePortal.

   2. Рядом с метаданными поставщика удостоверенийвыберите Обзор. Выберите файл metadata.xml, который вы скачали.

   3. Нажмите кнопку ОК.

Создание тестового пользователя Palo Alto Networks Captive Portal

Затем создайте пользователя с именем Britta Simon в Palo Alto Networks Captive Portal. Captive Portal от Palo Alto Networks поддерживает подготовку пользователей в режиме реального времени, которая включена по умолчанию. Вам не нужно выполнять какие-либо задачи в этом разделе. Если пользователь еще не существует в Palo Alto Networks Captive Portal, он создается после проверки подлинности.

Заметка

Если вы хотите создать пользователя вручную, обратитесь в службу поддержки клиентов Palo Alto Networks Captive Portal.

Проверка SSO (единого входа)

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с использованием следующих параметров.

• Щелкните Протестируйте это приложение, и вы автоматически войдете на портал Captive Portal Palo Alto Networks, для которого вы настроили единый вход (SSO).

• Вы можете использовать Microsoft My Apps. Щелкнув плитку Palo Alto Networks Captive Portal на портале "Мои приложения", вы автоматически войдете на портал Palo Alto Networks Captive Portal, для которого настроили единый вход. Дополнительные сведения о "Мои приложения" см. в разделе "Введение в Мои приложения".

Связанное содержимое

После настройки Captive Porta Palo Alto Networks вы можете применить управление сеансами, которое защищает конфиденциальные данные организации от кражи и проникновения в режиме реального времени. Элемент управления сеансом расширяется от условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.