База знаний
6С чего начать? 30Indeed Privileged Access Manager 68Indeed Certificate Manager 141Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 2Документация по продуктам
База знаний: Indeed Access Manager 8 > Примеры настройки Indeed AM с различными системами
PaloAlto настройка работы через Indeed AM SAML IDP
Автор Mikhail Nikitin, Last modified by Mariya Vorozhba на 01 марта 2024 09:57 PM

PaloAlto настройка работы через Indeed AM SAML IDP

Создаем сертификат SAML idp

Важно, указать использование ключа: Цифровая подпись, Шифрование ключей, Шифрование данных.

Устанавливаем его в “Локальный компьютер\Личное\Сертификаты”

Даем разрешение на закрытый ключ пользователям “IUSR” и “IIS_IUSRS

Добавляем сертификаты.

Генерируем сертификат Palo Alto (если его нет), импортируем сертификат SAML idp (PaloAlto не принимает самоподписанный, поэтому создаем сертификат через доменный СА) и корневой сертификат доменного СА.

  1. Device
  2. Certificate Management
  3. Certificates
  4. Import

    Если сертификат для Palo Alto создавали не доменным СА, то требуется сделать экспорт сертификата PaloAlto и установить его в “Личные” компьютера с установленным SAML idp

  1. Device
  2. Certificate Management
  3. Certificates
  4. Ставим галочку у нужного сертификата
  5. Export Certificate

Добавляем Certificate Profile

  1. Device
  2. Certificate Management
  3. Certificate Profile
  4. Add

Создаем профиль SAML

  1. Device
  2. Server Profiles
  3. SAML Identity Provider
  4. Add

Identity Provider ID указываем entityID Indeed SAML idp "urn:indeedid:saml_idp"

Identity Provider Certificate указываем используемый сертификат

Identity Provider SSO URL "https://полное_имя_до_сервера_с_indeed_saml_idp/am/idp/Account/SsoService"

Identity Provider SLO URL "https://полное_имя_до_сервера_с_indeed_saml_idp/am/idp/Account/Logout"

SAML HTTP Binding for SSO Request to IDP "Post"

SAML HTTP Binding for SLO Request to IDP "Post"

Ставим галки на пунктах:

Validate Identity Provider Certificate

Sign SAML Message to IDP

Стоит учесть, что VPN будет перенаправлять пользователя на сервер SAML, соответственно, он должен быть опубликован и доступен для VPN-клиентов.

Прописываем созданный профиль

  1. Device
  2. Authentication Profile
  3. Add

Type SAML

Idp Server Profile указываем созданный SAML_profile

Certificate for Signing Requests указываем сертификат PaloAlto для подписания запросов (данный сертификат должен иметь закрытый ключ)

Certificate Profile указываем созданный Certificate Profile

Username Attribute указываем атрибут имени пользователя

        

Настраиваем Global Protect

  1. Network
  2. GlobalProtect
  3. Gateways
  4. Add

Настраиваем Portals аналогично

  1. Network
  2. GlobalProtect
  3. Portals
  4. Add

в агенте публикуем наш портал

Применяем настройки

  1. Commit

Установка SAML idp

Согласно инструкции

Настраиваем saml.config на машине с SAML idp

Он находится по пути: “C:\inetpub\wwwroot\am\idp\saml.config”

 В примере строки с 6 по 12.

Настраиваем Web.config

Находится по пути:  “C:\inetpub\wwwroot\am\idp\Web.config”

В примере строки 38, 40-42.

Если меняли сертификат idp, то указываем его отпечаток (в примере в 28 строке).

Выставляем проверку подлинности в IIS, проверяем работу.

 

 

(0 голос(а))
Эта статья полезна
Эта статья бесполезна
Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: