PA-Prisma Access與第三方整合-Part1
針對Mobile Users設定ADFS 4.0為 SAML IdP
ADFS 前置作業
- 確認ADFS有SSL憑證。如果憑證是私發的,要將私發的CA憑證 import到 Panaorama(Certificate Management > Certificates > Import) under the Mobile_User_Template)
- 將網頁瀏覽到 AD FS namespace 初始登入頁面。網址長得像這樣
https://<namespace><adfs-server-hostname>/adfs/ls/idpinitiatedsignon.aspx - 確認已經download “federation metadata XML file”到正在操作的本機電腦。需要把這一個檔案 import 到Panorama 以完成SAML IdP的設定。
download的位置要開啟 ADFS管理工具(如下畫面的位置)。
檔案名稱(URL Path)範例:
<adfs-server-hostname>/FederationMetadata/2007–06/FederationMetadata.xml
在ADFS server上進行ADFS的設定
將 mobile user在ADFS關聯成Relying Party Trust
Step 1
取得所有Mobile user會用到的 Microsoft 的網址(portal)與 gateways的清單資訊。在PA 的Panorama→Cloud Service→Status,然後選擇Mobile Users。輸入我們取得的清單資料(如下示意圖)
Step 2
在ADFS管理工具中上將所有的Prisma Access Portal與 gateway加入成Relying Party Trust。
- 開啟ADFS管理工具
- 在Navigation Pane,展開"Trust Relationships",選擇Relying Party Trust
- 在右手邊的Action menu上,選擇“Add Relying Party Trust”
- 在Add Relying Party Trust Wizard頁面中,選擇 Claims aware然後點選Start(如下圖)。
5. 在第三個步驟(Select Data Source),選擇"Enter data about the relying party manually",然後按下一步(如下圖)。
6. 在"Specify Display Name",輸入第一個relying party(Prisma Access gateway或portals其中一個),按下一步。如下範例
7.在”Configure URL”,輸入Gateway的SAML SSO URL,按下一步。
URL的格式會是這樣:
https://<gateway-hostname>:443/SAML20/SP/ACS
gateway-hostname — 這是指配置為relying party trust的 Prisma Access Gateway的名稱。
8.在"Configure Identifiers",輸入Gateway的relying party trust identifier,然後下一步。URL的格式會是這樣:
https://<gateway-hostname>:443/SAML20/SP
<gateway-hostname> 是配置為relying party trust的 Prisma Access Gateway的名稱
9.在"Choose Access Control Policy",如果沒有特殊需求就選擇"Permit everyone"。然後選擇下一步。
10.最後點選"Finish"完成該作業。
Step 3
現在在我們建立的relying party trust加入一些規則。
- 在"relying party trust",點選我們建立的gateway後按滑鼠右鍵,選擇"Edit Claim Issuance Policy"。
- 點選”Add Rule”。
3.在"Select Rule Template"頁面,選擇"Send LDAP attributes as Claims"作為我們的Rule template。
4.在Configure Rule中,加入SAML-Account-Name 的 LDAP Attribute和Name ID 的Outgoing Claim Type。預設中,Prisma Access portal/gateway會需要IdP的SAML 回應中有username attribute。
5. 點選Apply然後再點選OK
這一個gateway就會新增在我們的Relying Party Trusts
Step 4(選擇性作法)
如果我們使用 CA(Certificate Authority) 發行的證書,將其加為token signing certificate並在 ADFS 上啟用 IdP provider certificate validation。
- 在我們使用的CA平台上產生證書
- 開啟ADFS管理工具,double-click “Service”,然後選擇Certificates
- 在Actions pane中,點選Add Token-Signing Certificate
- 瀏覽我們剛剛產生的證書將其載入
Step 5
把所有的其他Prisma Access的portal與gateway的其他清單資料重複Step 2與3輸入進去。
在PA的Panorama中設定ADFS資訊
Step 1
在Panorama Console中, 選擇 Device →Server Profiles →SAML Identity Provider。選擇"Mobile_User_Template"作為範本。
Step 2
匯入從ADFS產生的federation metadata XML 檔案。
- 給予Profile名稱
- 點選”Identity Provider Metadata”旁邊的Browse,然後選擇本機的"federation metadata XML 檔案"(如下圖)
- 如果我們之前已經將CA發行的證書加為token signing certificate並在 ADFS 上啟用 IdP provider certificate validation的話,勾選"Validate Identity Provider Certificate",如果沒有則不需要勾選
Step 3(選擇性做法)
如果我們有用CA發行的憑證,我們需要將根憑證imoprt進到系統中。
- 選擇Certificate Management > Certificates然後Import該檔案。
2. 選擇Device > Device Management > Certificate Management然後加入憑證。
Step 4
選擇Device > Authentication Profile,加入一個新的Authentication Profile
- server type 為 SAML
- (選擇性)如果我們之前已經將CA發行的證書加為token signing certificate並在 ADFS 上啟用 IdP provider certificate validation的話,選擇我們剛剛建立的 Certificate Profile。如果沒有,就選None。剩下的選項都不動
這一個authentication profile是結合portal and gateway驗證使用。
