Palo alto-SAML

Configuración de un perfil de servidor SAML

Inicie sesión en la consola de administración de Palo Alto Networks con suficientes privilegios.

Vaya a Dispositivo > Perfil de servidor > Proveedor de identidad y luego haga clic en Importar para definir un nuevo idp SAML.

Ingrese un nombre de perfil que sea único y apropiado, e ingrese la siguiente configuración del servidor, como se muestra arriba.

• Nombre de perfil: Un nombre identificativo.

• Metadatos de proveedor: Se pueden encontrar en el proceso de crear una aplicación tipo SAML en Ironchip. Descargalos y súbelos.
  
  
• Tiempo de espera (seg): 60
  
  

  

Haga clic en Aceptar y abre el nuevo perfil creado:

• Desmarca las opciones Validate IDP Certificate y Firmar mensaje SAML en IDP. 

Haga clic en Aceptar para guardar la configuración.

Descargar metadatos para Ironchip.

Vaya a Dispositivo > Perfil de autenticación y luego haga clic en Añadir. 

Modifica estos parámetros:

• Nombre: Ponle un nombre identificativo.
• Tipo: SAML.
• Perfil de servidor IDP: El perfil de SAML creado.
• Habilitar cierre de sesión único: Marcado
• Username Attribute: uid
• User Group Attribute: eduPersonAffiliation

Pulsa en aceptar y descarga los metadatos como se muestra en la imagen.

En el tipo de servicio, deberás seleccionar management, e introducir la IP de conexion de tu VPN.

Cuando hayas descargado este código, súbelo a una dirección pública de Internet y provee la URL en formato raw añadiéndola al campo Metadata URL en la aplicación de IRONCHIP.

Aplicar el perfil de autenticación de SAML a una puerta de enlace

Seleccione Red > GlobalProtect > Puertas de enlace y abra su puerta de enlace GlobalProtect configurada.

Seleccione la pestaña Autenticación para definir la configuración de autenticación del cliente.

Haga clic en Agregar para actualizar la autenticación del cliente al perfil de autenticación que acaba de configurar.

Deje la configuración predeterminada excepto por lo siguiente:

• Nombre: Nombre único y apropiado.

• Sistema operativo: cualquiera.

• Perfil de autenticación: ingrese el perfil de autenticación que configuró anteriormente.

• Mensaje de autenticación: Ingrese las instrucciones adecuadas para los usuarios finales, como “Ingresar las credenciales de inicio de sesión”.

Haga clic en Aceptar para guardar la configuración.

Configure el portal GlobalProtect para usar el perfil de autenticación SAML

Nota: El paso aplica la misma configuración que acaba de aplicar a su puerta de enlace de GlobalProtect al portal de GlobalProtect.

Seleccione Red > GlobalProtect > Portales y abra su Portal GlobalProtect configurado. Seleccione la pestaña Autenticación para definir la configuración de autenticación del cliente. Haga clic en Agregar para actualizar la autenticación del cliente al perfil de autenticación SAML que acaba de configurar.

Deje la configuración predeterminada excepto por lo siguiente:

• Nombre: Nombre único y apropiado.

• Sistema operativo: cualquiera.

• Perfil de autenticación: ingrese el perfil de autenticación que configuró anteriormente.

• Mensaje de autenticación: Ingrese las instrucciones adecuadas para los usuarios finales, como “Ingresar las credenciales de inicio de sesión”.

Haga clic en Aceptar para guardar la configuración.

(Opcional) Configurar un administrador con SAML

Ve al apartado Dispositivo > Administradores y crea un nuevo perfil de administración o edita uno existente.

En el Perfil de autenticación, selecciona el de SAML anteriormente creado.

Por último dirígete al apartado Dispositivo > Configuración, y modifica la configuración de autenticación.

En el Perfil de autenticación, selecciona el de SAML anteriormente creado.