Samouczek: integracja firmy Microsoft Entra z aplikacją Palo Alto Networks Captive Portal

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować aplikację Palo Alto Networks Captive Portal z usługą Microsoft Entra ID. Zintegrowanie aplikacji Palo Alto Networks Captive Portal z usługą Microsoft Entra ID zapewnia następujące korzyści:

  • Możesz kontrolować w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Palo Alto Networks Captive Portal.
  • Możesz zezwolić swoim użytkownikom na automatyczne logowanie do aplikacji Palo Alto Networks Captive Portal (logowanie jednokrotne) przy użyciu kont Microsoft Entra.
  • Konta można zarządzać w jednej centralnej lokalizacji.

Wymagania wstępne

Aby zintegrować aplikację Microsoft Entra ID z aplikacją Palo Alto Networks Captive Portal, potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz identyfikatora Entra firmy Microsoft, możesz uzyskać miesięczną wersję próbną.
  • Subskrypcja aplikacji Palo Alto Networks Captive Portal z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

  • Aplikacja Palo Alto Networks Captive Portal obsługuje logowanie jednokrotne inicjowane przez dostawcę tożsamości
  • Aplikacja Palo Alto Networks Captive Portal obsługuje aprowizowanie użytkowników just in time

Aby skonfigurować integrację aplikacji Palo Alto Networks Captive Portal z identyfikatorem Microsoft Entra ID, należy dodać aplikację Palo Alto Networks Captive Portal z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz Palo Alto Networks Captive Portal w polu wyszukiwania.
  4. Wybierz pozycję Palo Alto Networks Captive Portal z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft

W tej sekcji skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra z aplikacją Palo Alto Networks Captive Portal, bazując na testowym użytkowniku B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Palo Alto Networks Captive Portal.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją Palo Alto Networks Captive Portal, wykonaj następujące kroki:

  1. Konfigurowanie logowania jednokrotnego firmy Microsoft Entra — umożliwia użytkownikowi korzystanie z tej funkcji.
    • Tworzenie użytkownika testowego aplikacji Microsoft Entra — testowanie logowania jednokrotnego aplikacji Microsoft Entra z użytkownikiem B.Simon.
    • Przypisz użytkownika testowego aplikacji Microsoft Entra — skonfiguruj aplikację B.Simon, aby używać logowania jednokrotnego firmy Microsoft Entra.
  2. Skonfiguruj logowanie jednokrotne aplikacji Palo Alto Networks Captive Portal — skonfiguruj ustawienia logowania jednokrotnego w aplikacji.
    • Tworzenie użytkownika testowego aplikacji Palo Alto Networks Captive Portal — aby mieć w aplikacji Palo Alto Networks Captive Portal odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w aplikacji Microsoft Entra.
  3. Testowanie logowania jednokrotnego — sprawdź, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji>dla przedsiębiorstw Aplikacji>tożsamości>Palo Alto Networks Captive Portal>— logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  5. W okienku Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    1. W polu Identyfikator wprowadź adres URL ze wzorcem https://<customer_firewall_host_name>/SAML20/SP.

    2. W polu Adres URL odpowiedzi wprowadź adres URL ze wzorcem https://<customer_firewall_host_name>/SAML20/SP/ACS.

      Uwaga

      W tym kroku zaktualizuj wartości symboli zastępczych przy użyciu rzeczywistego identyfikatora i adresów URL odpowiedzi. Aby uzyskać te rzeczywiste wartości, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Palo Alto Networks Captive Portal.

  6. W sekcji Certyfikat podpisywania SAML obok pola Kod XML metadanych federacji wybierz pozycję Pobierz. Zapisz pobrany plik na komputerze.

    The Federation Metadata XML download link

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji Palo Alto Networks Captive Portal.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do aplikacji>dla przedsiębiorstw Aplikacji>tożsamości>Palo Alto Networks Captive Portal.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego aplikacji Palo Alto Networks Captive Portal

Następnie skonfiguruj logowanie jednokrotne w aplikacji Palo Alto Networks Captive Portal:

  1. W innym oknie przeglądarki zaloguj się w witrynie internetowej aplikacji Palo Alto Networks jako administrator.

  2. Wybierz kartę Device (Urządzenie).

    The Palo Alto Networks website Device tab

  3. W menu wybierz pozycję SAML Identity Provider (Dostawca tożsamości SAML), a następnie wybierz przycisk Import (Importuj).

    The Import button

  4. W oknie dialogowym SAML Identity Provider Server Profile Import (Importowanie profilu serwera dostawcy tożsamości SAML) wykonaj następujące czynności:

    Configure Palo Alto Networks single sign-on

    1. W polu Nazwa profilu wprowadź nazwę, na przykład AzureAD-CaptivePortal.

    2. Obok pola Identity Provider Metadata (Metadane dostawcy tożsamości) wybierz przycisk Browse (Przeglądaj). Wybierz pobrany plik metadata.xml.

    3. Wybierz przycisk OK.

Tworzenie użytkownika testowego aplikacji Palo Alto Networks Captive Portal

Następnie utwórz użytkownika o nazwie Britta Simon w aplikacji Palo Alto Networks Captive Portal. Aplikacja Palo Alto Networks Captive Portal obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie trzeba wykonywać żadnych zadań. Jeśli użytkownik jeszcze nie istnieje w aplikacji Palo Alto Networks Captive Portal, zostanie utworzony po uwierzytelnieniu.

Uwaga

Jeśli chcesz ręcznie utworzyć użytkownika, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Palo Alto Networks Captive Portal.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do aplikacji Palo Alto Networks Captive Portal, dla której skonfigurowano logowanie jednokrotne

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Palo Alto Networks Captive Portal w Moje aplikacje powinno nastąpić automatyczne zalogowanie do aplikacji Palo Alto Networks Captive Portal, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu aplikacji Palo Alto Networks Captive Portal możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.