逐步说明如何为GlobalProtect门户和网关设置Azure SAML认证。
使用Azure SAML的GlobalProtect认证
第2步. 搜索Palo Alto并选择Palo Alto Global Protect
第3步. 点击 "添加"来添加应用程序。
第4步. 在应用程序成功添加后>点击单点登录
第5步. 选择SAML选项。
第6步. 通过点击编辑按钮编辑基本SAML配置
第7步. 填写登录URL、标识符(实体ID)和回复URL(主张消费者服务URL),如下所示
GlobalProtect门户的FQDN/IP地址可以通过登录防火墙,在网络>门户>选择门户>代理>选择配置>外部>选择外部网关>使用FQDN或IP地址ip来定位。
登录的URL。
识别码(实体ID)
https://IP-address:443/SAML20/SP
回复URL(主张消费者服务URL)。
https://FQDN:443/SAML20/SP/ACS
https://IP-address:443/SAML20/SP/ACS
例如:
或者IP地址:
第8步. 下载联邦元数据XML并保存在你的电脑上(这将被导入到防火墙中)
这样就完成了在Azure上的配置。登录到防火墙并添加SAML身份提供者
配置SAML认证的步骤,以便将其用于GlobalProtect 门户和网关。
按照这篇文章配置GlobalProtect 门户/网关
SAML配置步骤:
第1步. 登录到防火墙并导航到设备>SAML身份提供者>导入
第2步. 导入步骤8中从Azure下载的联邦元数据XML。
选项:取消勾选验证身份提供者证书。如果勾选,来自Azure的证书也需要上传到防火墙上。
第3步. 创建认证配置文件并选择SAML和IDP服务器配置文件
第4步. 点击 "高级 "标签,选择 "允许列表"
第5步. 在GlobalProtect门户网站上添加认证资料
第6步. 在GlobalProtect网关配置中添加认证配置文件。
配置部分到此结束。
