Live Chat Software by Kayako |
PaloAlto настройка работы через Indeed AM SAML IDP
Автор Mikhail Nikitin, Last modified by Mariya Vorozhba на 01 марта 2024 09:57 PM
|
|
PaloAlto настройка работы через Indeed AM SAML IDPСоздаем сертификат SAML idp
Важно, указать использование ключа: Цифровая подпись, Шифрование ключей, Шифрование данных. Устанавливаем его в “Локальный компьютер\Личное\Сертификаты” Даем разрешение на закрытый ключ пользователям “IUSR” и “IIS_IUSRS”
Добавляем сертификаты.Генерируем сертификат Palo Alto (если его нет), импортируем сертификат SAML idp (PaloAlto не принимает самоподписанный, поэтому создаем сертификат через доменный СА) и корневой сертификат доменного СА.
Если сертификат для Palo Alto создавали не доменным СА, то требуется сделать экспорт сертификата PaloAlto и установить его в “Личные” компьютера с установленным SAML idp
Добавляем Certificate Profile
Создаем профиль SAML
Identity Provider ID указываем entityID Indeed SAML idp "urn:indeedid:saml_idp" Identity Provider Certificate указываем используемый сертификат Identity Provider SSO URL "https://полное_имя_до_сервера_с_indeed_saml_idp/am/idp/Account/SsoService" Identity Provider SLO URL "https://полное_имя_до_сервера_с_indeed_saml_idp/am/idp/Account/Logout" SAML HTTP Binding for SSO Request to IDP "Post" SAML HTTP Binding for SLO Request to IDP "Post" Ставим галки на пунктах: Validate Identity Provider Certificate Sign SAML Message to IDP Стоит учесть, что VPN будет перенаправлять пользователя на сервер SAML, соответственно, он должен быть опубликован и доступен для VPN-клиентов. Прописываем созданный профиль
Type SAML
Idp Server Profile указываем созданный SAML_profile
Certificate for Signing Requests указываем сертификат PaloAlto для подписания запросов (данный сертификат должен иметь закрытый ключ) Certificate Profile указываем созданный Certificate Profile
Username Attribute указываем атрибут имени пользователя
Настраиваем Global Protect
Настраиваем Portals аналогично
в агенте публикуем наш портал
Применяем настройки
Установка SAML idpНастраиваем saml.config на машине с SAML idpОн находится по пути: “C:\inetpub\wwwroot\am\idp\saml.config” В примере строки с 6 по 12.
Настраиваем Web.config
Находится по пути: “C:\inetpub\wwwroot\am\idp\Web.config” В примере строки 38, 40-42. Если меняли сертификат idp, то указываем его отпечаток (в примере в 28 строке).
Выставляем проверку подлинности в IIS, проверяем работу.
| |
|