Поделиться через

Интеграция единого входа Microsoft Entra с Palo Alto Networks Cloud Identity Engine — облачный сервис аутентификации

  • Статья

Из этой статьи вы узнаете, как интегрировать Palo Alto Networks Cloud Identity Engine — облачную службу проверки подлинности с идентификатором Microsoft Entra. Интеграция Palo Alto Networks Cloud Identity Engine — Cloud Authentication Service с идентификатором Microsoft Entra ID позволяет:

  • Кто имеет доступ к Palo Alto Networks Cloud Identity Engine — контролируется в Microsoft Entra ID в облачной службе проверки подлинности.
  • Включите автоматический вход пользователей в Palo Alto Networks Cloud Identity Engine — cloud Authentication Service с помощью учетных записей Microsoft Entra.
  • Управляйте своими аккаунтами централизованно.

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка на Cloud Identity Engine от Palo Alto Networks с поддержкой единого входа (SSO) в службу облачной аутентификации.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Palo Alto Networks Облачный механизм идентификации — Облачная служба аутентификации поддерживает единый вход, инициированный поставщиком услуг.

  • Palo Alto Networks Cloud Identity Engine — служба облачной проверки подлинности поддерживает JIT подготовки пользователей.

Добавить Palo Alto Networks Cloud Identity Engine — облачная служба аутентификации из галереи

Чтобы настроить интеграцию Palo Alto Networks Cloud Identity Engine — Cloud Authentication Service с идентификатором Microsoft Entra ID, необходимо добавить Palo Alto Networks Cloud Identity Engine — Cloud Authentication Service из галереи в каталог управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.
  2. Перейдите в раздел Идентификация>Приложения>Корпоративные приложения>Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите Palo Alto Networks Cloud Identity Engine — Служба облачной аутентификации.
  4. Выберите Palo Alto Networks Cloud Identity Engine — служба облачной проверки подлинности на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш арендный объект.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Palo Alto Networks Cloud Identity Engine — служба облачной проверки подлинности

Настройте и протестируйте Microsoft Entra SSO в связке с Palo Alto Networks Cloud Identity Engine — службой аутентификации в облаке, используя тестового пользователя B.Simon. Для того чтобы единый вход работал, необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Palo Alto Networks Облачный механизм идентификации — Служба аутентификации в облаке.

Чтобы настроить и протестировать Microsoft Entra SSO с Palo Alto Networks Cloud Identity Engine — Cloud Authentication Service, выполните следующие шаги.

  1. Настройте Microsoft Entra SSO - чтобы ваши пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы Б.Саймон мог использовать функцию единого входа Microsoft Entra.
  2. Настройте Palo Alto Networks Cloud Identity Engine - Cloud Authentication Service SSO, чтобы настроить параметры единого входа на стороне приложения.
    1. Создать облачную систему Cloud Identity Engine Palo Alto Networks — тестового пользователя для Cloud Authentication Service, чтобы в Palo Alto Networks Cloud Identity Engine был создан тестовый пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
  3. Тест SSO - для проверки, работает ли конфигурация.

Настройте SSO в Microsoft Entra

Выполните следующие действия, чтобы активировать Microsoft Entra SSO.

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

  2. Перейдите к приложениям>идентификации>Enterprise>Palo Alto Networks Cloud Identity Engine — облачный сервис аутентификации>единый вход.

  3. На странице Выбор метода единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Изменить базовую конфигурацию SAML

  5. Если у вас есть файл метаданных поставщика служб, выполните следующие действия в разделе Базовая конфигурация SAML:

    a. Щелкните Отправить файл метаданных.

    Передача файла метаданных

    б. Выберите значок папки , чтобы выбрать файл метаданных и нажмите Отправить.

    Выбор файла метаданных

    с. После успешной передачи файла метаданных в разделе "Базовая конфигурация SAML" автоматически заполнится значение Идентификатор.

    д. В текстовом поле URL-адрес входа введите URL-адрес в формате https://<RegionUrl>.paloaltonetworks.com/sp/acs.

    Примечание.

    Если значение идентификатора не заполняется автоматически, заполните значение вручную в соответствии с вашим требованием. Значение URL-адреса входа не является реальным. Обновите это значение с указанием фактического URL-адреса для входа. Чтобы получить это значение, обратитесь в службу поддержки Palo Alto Networks Cloud Identity Engine — служба поддержки клиентов облачной проверки подлинности. Вы также можете ссылаться на шаблоны, показанные в разделе Базовая конфигурация SAML.

  6. Приложение Cloud Identity Engine от Palo Alto Networks ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

    изображение

  7. В дополнение к вышеупомянутому, в приложении Palo Alto Networks Облачная система идентификации — Облачная служба аутентификации ожидается передача нескольких дополнительных атрибутов в ответе SAML, показанных ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

    Имя Атрибут источника
    Группа группы пользователей
    имя пользователя пользователь.главноеимяпользователя

  8. На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" нажмите кнопку "Копировать", чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

    Ссылка для скачивания сертификата

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя быстрого старта, чтобы создать тестовую учетную запись пользователя B.Simon.

Настройка Cloud Identity Engine Palo Alto Networks — облачной службы проверки подлинности для единого входа (SSO)

  1. Войдите на сайт компании Palo Alto Networks Cloud Identity Engine — службы облачной аутентификации, в качестве администратора.

  2. Перейдите к проверки подлинности>поставщиков удостоверений и выберите Добавить поставщика удостоверений.

    учетной записи

  3. На странице Настройка SAML-аутентификации выполните следующие действия.

    Аутентификация

    a. На шаге 1 выберите скачать метаданные SP, чтобы скачать файл метаданных и сохранить его на компьютере.

    б. На Этапе 2 заполните необходимые поля, чтобы настроить профиль поставщика удостоверений, скопированный ранее.

    с. На шаге 3 выберите Проверить настройку SAML, чтобы проверить конфигурацию профиля, и убедитесь, что MFA включена наIDP.

    Тест SAML

    Примечание.

    Чтобы протестировать единый вход в систему Palo Alto Networks Cloud Identity Engine — Служба аутентификации в облаке, откройте консоль Palo Alto Networks Cloud Identity Engine — Служба аутентификации в облаке и нажмите кнопку Проверить подключение и аутентифицируйтесь, используя тестовую учетную запись, созданную в разделе Создание тестового пользователя Microsoft Entra.

    д. С шага 4 введите АТРИБУТ ИМЕНИ ПОЛЬЗОВАТЕЛЯ и выберите Отправить.

    атрибуты SAML

Создание тестового пользователя Palo Alto Networks Cloud Identity Engine — тестовая служба облачной проверки подлинности

В этом разделе пользователь с именем Britta Simon создается в Palo Alto Networks Cloud Identity Engine — Cloud Authentication Service. Palo Alto Networks Cloud Identity Engine — служба облачной проверки подлинности поддерживает подготовку пользователей в режиме реального времени, которая включена по умолчанию. В рамках этого раздела никакие действия с вашей стороны не требуются. Если пользователь еще не существует в Palo Alto Networks Cloud Identity Engine — служба облачной проверки подлинности, создается новый после проверки подлинности.

Тестирование SSO

Чтобы протестировать Palo Alto Networks Cloud Identity Engine - службу аутентификации в облаке SSO, откройте консоль Palo Alto Networks Cloud Identity Engine - службу аутентификации в облаке и нажмите кнопку Проверить подключение, и аутентифицируйтесь с помощью тестовой учетной записи, созданной в секции Создание тестового пользователя Microsoft Entra.

Связанный контент

После настройки Palo Alto Networks Cloud Identity Engine — cloud Authentication Service вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансами выходит за рамки условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.