Tutorial: Integração do Microsoft Entra SSO com Palo Alto Networks - Admin UI
Neste tutorial, você aprenderá como integrar Palo Alto Networks - Admin UI com o Microsoft Entra ID. Ao integrar Palo Alto Networks - Admin UI com o Microsoft Entra ID, você pode:
- Controle no Microsoft Entra ID quem tem acesso a Palo Alto Networks - Admin UI.
- Permita que seus usuários entrem automaticamente no Palo Alto Networks - Admin UI com suas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
Pré-requisitos
Para começar, você precisa dos seguintes itens:
- Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
- Palo Alto Networks - Assinatura habilitada para logon único (SSO) da interface do usuário do administrador.
- É obrigatório que o serviço esteja disponível ao público. Consulte esta página para obter mais informações.
Descrição do cenário
Neste tutorial, você configura e testa o logon único do Microsoft Entra em um ambiente de teste.
- Palo Alto Networks - Admin UI suporta SSO iniciado por SP .
- Palo Alto Networks - Admin UI suporta provisionamento de usuário Just In Time .
Adicionando Palo Alto Networks - Admin UI da galeria
Para configurar a integração de Palo Alto Networks - Admin UI no Microsoft Entra ID, você precisa adicionar Palo Alto Networks - Admin UI da galeria à sua lista de aplicativos SaaS gerenciados.
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
- Na seção Adicionar da galeria, digite Palo Alto Networks - Admin UI na caixa de pesquisa.
- Selecione Palo Alto Networks - Admin UI no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o Microsoft Entra SSO para Palo Alto Networks - Admin UI
Nesta seção, você configura e testa o logon único do Microsoft Entra com Palo Alto Networks - Admin UI com base em um usuário de teste chamado B.Simon. Para que o logon único funcione, uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado em Palo Alto Networks - Admin UI precisa ser estabelecida.
Para configurar e testar o logon único do Microsoft Entra com Palo Alto Networks - Admin UI, execute as seguintes etapas:
- Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
- Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
- Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
- Configure Palo Alto Networks - Admin UI SSO - para configurar as configurações de logon único no lado do aplicativo.
- Create Palo Alto Networks - Admin UI test user - para ter um equivalente de B.Simon em Palo Alto Networks - Admin UI que está vinculado à representação do usuário do Microsoft Entra.
- Teste SSO - para verificar se a configuração funciona.
Configurar o Microsoft Entra SSO
Siga estas etapas para habilitar o Microsoft Entra SSO.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Palo Alto Networks - Admin UI>Single sign-on.
Na página Selecione um método de logon único, selecione SAML.
Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.
Na seção Configuração Básica do SAML, execute as seguintes etapas:
a. Na caixa Identificador, digite uma URL usando o seguinte padrão:
https://<Customer Firewall FQDN>:443/SAML20/SP
b. Na caixa de texto URL de resposta, digite a URL do ACS (Assertion Consumer Service) no seguinte formato:
https://<Customer Firewall FQDN>:443/SAML20/SP/ACS
c. Na caixa de texto URL de início de sessão, escreva um URL utilizando o seguinte padrão:
https://<Customer Firewall FQDN>/php/login.php
Nota
Estes valores não são reais. Atualize esses valores com o identificador real, URL de resposta e URL de logon. Entre em contato com a equipe de suporte ao cliente da Palo Alto Networks - Admin UI para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.
A porta 443 é necessária no identificador e no URL de resposta, pois esses valores são codificados no firewall de Palo Alto. Remover o número da porta resultará em um erro durante o login, se removido.
A porta 443 é necessária no identificador e no URL de resposta, pois esses valores são codificados no firewall de Palo Alto. Remover o número da porta resultará em um erro durante o login, se removido.
O aplicativo Palo Alto Networks - Admin UI espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão.
Nota
Como os valores de atributo são apenas exemplos, mapeie os valores apropriados para username e adminrole. Há outro atributo opcional, accessdomain, que é usado para restringir o acesso do administrador a sistemas virtuais específicos no firewall.
Além disso, o aplicativo Palo Alto Networks - Admin UI espera que mais alguns atributos sejam passados de volta na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-preenchidos, mas você pode revisá-los de acordo com suas necessidades.
Nome Atributo de origem nome de utilizador user.userprincipalname adminrole administrador personalizado Nota
O valor Name, mostrado acima como adminrole, deve ser o mesmo valor que o atributo Admin role, que é configurado na etapa 12 da seção Configure Palo Alto Networks - Admin UI SSO. O valor do atributo de origem, mostrado acima como customadmin, deve ser o mesmo valor que o nome do perfil da função de administrador, que é configurado na etapa 9 da seção Configurar redes Palo Alto - SSO da interface do usuário do administrador.
Nota
Para obter mais informações sobre os atributos, consulte os seguintes artigos:
Na página Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, clique em Download para baixar o XML de Metadados de Federação das opções fornecidas de acordo com sua necessidade e salvá-lo em seu computador.
Na seção Configurar Palo Alto Networks - Admin UI, copie o(s) URL(s) apropriado(s) de acordo com sua necessidade.
Criar um usuário de teste do Microsoft Entra
Nesta seção, você criará um usuário de teste chamado B.Simon.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
- Aceder a Identidade>Utilizadores>Todos os Utilizadores.
- Selecione Novo usuário Criar novo usuário>, na parte superior da tela.
- Nas propriedades do usuário , siga estas etapas:
- No campo Nome para exibição , digite
B.Simon
. - No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo,
B.Simon@contoso.com
. - Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
- Selecione Rever + criar.
- No campo Nome para exibição , digite
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nesta seção, você habilitará B.Simon para usar o logon único concedendo acesso a Palo Alto Networks - Admin UI.
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Identity>Applications>Enterprise applications>Palo Alto Networks - Admin UI.
- Na página de visão geral do aplicativo, selecione Usuários e grupos.
- Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
- Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
- Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
- Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.
Configurar redes Palo Alto - SSO da interface do usuário de administração
Abra a interface do usuário de administração do Firewall de Palo Alto Networks como administrador em uma nova janela.
Selecione a guia Dispositivo .
No painel esquerdo, selecione SAML Identity Provider e, em seguida, selecione Importar para importar o arquivo de metadados.
Na janela SAML Identify Provider Server Profile Import, faça o seguinte:
a. Na caixa Nome do perfil, forneça um nome (por exemplo, Microsoft Entra Admin UI).
b. Em Metadados do Provedor de Identidade, selecione Procurar e selecione o arquivo de metadata.xml que você baixou anteriormente.
c. Desmarque a caixa de seleção Validar Certificado do Provedor de Identidade .
d. Selecione OK.
e. Para confirmar as configurações no firewall, selecione Confirmar.
No painel esquerdo, selecione SAML Identity Provider e, em seguida, selecione o SAML Identity Provider Profile (por exemplo, Microsoft Entra Admin UI) que você criou na etapa anterior.
Na janela SAML Identity Provider Server Profile, faça o seguinte:
a. Na caixa URL do SLO do provedor de identidade, substitua a URL do SLO importada anteriormente pela seguinte URL:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
b. Selecione OK.
Na IU de administrador da Firewall de Palo Alto Networks, selecione Dispositivo e, em seguida, selecione Funções de administrador.
Selecione o botão Adicionar.
Na janela Perfil da Função de Administrador, na caixa Nome, forneça um nome para a função de administrador (por exemplo, fwadmin). O nome da função de administrador deve corresponder ao nome do atributo Função de Administrador SAML que foi enviado pelo Provedor de Identidade. O nome e o valor da função de administrador foram criados na seção Atributos do Usuário.
Na IU de administração da firewall, selecione Dispositivo e, em seguida, selecione Perfil de autenticação.
Selecione o botão Adicionar.
Na janela Perfil de autenticação, faça o seguinte:
a. Na caixa Nome, forneça um nome (por exemplo, AzureSAML_Admin_AuthProfile).
b. Na lista suspensa Tipo, selecione SAML.
c. Na lista suspensa Perfil do Servidor IdP, selecione o perfil apropriado do Servidor do Provedor de Identidade SAML (por exemplo, Interface do Usuário do Microsoft Entra Admin).
d. Marque a caixa de seleção Ativar Logout Único.
e. Na caixa Atributo da Função de Administrador , insira o nome do atributo (por exemplo, adminrole).
f. Selecione a guia Avançado e, em Lista de permissões, selecione Adicionar.
g. Marque a caixa de seleção Todos ou selecione os usuários e grupos que podem se autenticar com esse perfil.
Quando um utilizador se autentica, a firewall faz a correspondência entre o nome de utilizador ou grupo associado e as entradas nesta lista. Se você não adicionar entradas, nenhum usuário poderá se autenticar.h. Selecione OK.
Para permitir que os administradores usem o SAML SSO usando o Azure, selecione Configuração do dispositivo>. No painel Configuração, selecione a guia Gerenciamento e, em Configurações de autenticação, selecione o botão Configurações ("ferramenta").
Selecione o perfil de Autenticação SAML que você criou na janela Perfil de Autenticação (por exemplo, AzureSAML_Admin_AuthProfile).
Selecione OK.
Para confirmar a configuração, selecione Confirmar.
Criar Redes Palo Alto - Usuário de teste da interface do usuário do administrador
Palo Alto Networks - Admin UI suporta provisionamento de usuário just-in-time. Se um usuário ainda não existir, ele será criado automaticamente no sistema após uma autenticação bem-sucedida. Nenhuma ação é necessária de você para criar o usuário.
SSO de teste
Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.
Clique em Testar esta aplicação, isso redirecionará para Palo Alto Networks - Admin UI Sign-on URL onde você pode iniciar o fluxo de login.
Vá para Palo Alto Networks - Admin UI Sign-on URL diretamente e inicie o fluxo de login a partir daí.
Você pode usar o Microsoft My Apps. Ao clicar no bloco Palo Alto Networks - Admin UI em Meus Aplicativos, você deve estar automaticamente conectado ao Palo Alto Networks - Admin UI para o qual você configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.
Próximos passos
Depois de configurar Palo Alto Networks - Admin UI, você pode impor o controle de sessão, que protege a exfiltração e infiltração de dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.