使用 Microsoft Entra ID 設定 Palo Alto Networks - 管理者介面以進行單一登入

在本文中，您將瞭解如何整合 Palo Alto Networks - Admin UI 與 Microsoft Entra 識別符。 當您整合 Palo Alto Networks - Admin UI 與 Microsoft Entra ID 時，您可以：

• 在 Microsoft Entra ID 中控制誰可以存取 Palo Alto Networks - Admin UI。
• 讓使用者使用其Microsoft Entra 帳戶自動登入 Palo Alto Networks - 系統管理 UI。
• 在一個中央位置管理您的帳戶。

先決條件

本文中所述的案例假設您已經具備下列必要條件：

• 具有有效訂閱的 Microsoft Entra 使用者帳戶。 如果您還沒有帳戶，您可以 免費建立帳戶。
• 下列其中一個角色：
  • 應用程式管理員
  • 雲端應用程式管理員
  • 應用程式擁有者。

• Palo Alto Networks - 已啟用 Admin UI 單一登錄 （SSO） 的訂用帳戶。
• 這項服務必須對公眾開放。 如需詳細資訊，請參閱此 頁面。

案例描述

在本文中，您會在測試環境中設定及測試Microsoft Entra 單一登錄。

• Palo Alto Networks - 管理員用戶介面（Admin UI）支援 SP 起始的單一登入（SSO）。
• Palo Alto Networks - 系統管理 UI 支援 Just In Time 使用者布建。

從應用程式庫新增 Palo Alto Networks - Admin UI

若要設定將 Palo Alto Networks - Admin UI 整合到 Microsoft Entra ID 中，您需要從資源庫將 Palo Alto Networks - Admin UI 新增到受控 SaaS 應用程式清單。

1. 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
2. 請流覽至 Entra ID>企業應用程式>新增應用程式。
3. 在 [從圖庫 新增] 區段中，在搜尋方塊中輸入 Palo Alto Networks - Admin UI。
4. 從結果面板選取 [Palo Alto Networks - Admin UI，然後新增應用程式。 將應用程式新增至您的租戶時，請稍候幾秒鐘。

或者，您也可以使用 企業應用程式設定精靈。 在此精靈中，您可以將應用程式新增至租戶，將使用者或群組新增至應用程式，指派角色，以及完成 SSO 設定。 深入瞭解Microsoft 365 精靈。

設定及測試 Microsoft Entra SSO 用於 Palo Alto Networks - Admin UI

在本節中，您會以名為 Microsoft B.Simon的測試使用者身分，設定及測試與 Palo Alto Networks - Admin UI 搭配運作的 Entra 單一登錄。 若要讓單一登錄能夠運作，必須建立 Microsoft Entra 使用者與 Palo Alto Networks - Admin UI 中相關使用者之間的連結關聯性。

若要配置及測試 Microsoft Entra 單一登入與 Palo Alto Networks - Admin UI，請執行下列步驟：

1. 設定 Microsoft Entra SSO - 讓用戶能夠使用此功能。
   1. 建立 Microsoft Entra 測試使用者 - 使用 B.Simon 測試Microsoft Entra 單一登錄。
   2. 指派Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登錄。
2. 設定 Palo Alto Networks - Admin UI SSO - 在應用程式端設定單一登入設定。
   1. 建立 Palo Alto Networks - Admin UI 測試使用者，以便在 Palo Alto Networks - Admin UI 中創建與 Microsoft Entra 中的使用者代表 B.Simon 相對應的帳戶。
3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

請遵循下列步驟來啟用 Microsoft Entra SSO。

1. 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>Enterprise 應用程式>Palo Alto Networks - Admin UI>單一登入。

3. 在 [選取單一登錄方法 頁面上，選取 [saml ]。

4. 在 [設定使用 SAML 單一登入] 頁面上，選取 [基本 SAML 組態] 的鉛筆圖示來編輯設定。

   

5. 在 [基本 SAML 組態] 區段上，執行下列步驟：

   一個。 在 [標識符] 方塊中，使用下列模式輸入 URL： https://<Customer Firewall FQDN>:443/SAML20/SP

   b。 在 [回復 URL] 文本框中，以以下格式輸入判斷提示取用者服務（ACS）URL：https://<Customer Firewall FQDN>:443/SAML20/SP/ACS

   丙. 在 [登入頁面 URL] 文本框中，使用下列模式輸入 URL： https://<Customer Firewall FQDN>/php/login.php

   注意

   這些數值不是真實的。 使用實際的標識碼、回復 URL 和登入 URL 來更新這些值。 請連絡 Palo Alto Networks - Admin UI 用戶端支援小組 以取得這些值。 您也可以參考 基本 SAML 組態 一節中顯示的模式。

   標識碼 和 回復 URL 需要埠 443，因為這些值會硬式編碼到 Palo Alto 防火牆。 如果移除埠號碼，則會導致登入期間發生錯誤。

   標識碼 和 回復 URL 需要埠 443，因為這些值會硬式編碼到 Palo Alto 防火牆。 如果移除埠號碼，則會導致登入期間發生錯誤。

6. Palo Alto Networks - Admin UI 應用程式需要特定格式的 SAML 斷言，因此您需要將自定義屬性映射新增至 SAML 令牌屬性配置。 下列螢幕快照顯示預設屬性的清單。

   

   注意

   因為屬性值只是範例，因此請對應 用戶名稱 和 adminrole的適當值。 還有另一個選擇性屬性 accessdomain，可用來限制系統管理員對防火牆上特定虛擬系統的存取權。

7. 除了上述屬性外，Palo Alto Networks - Admin UI 應用程式還需要在 SAML 回應中多傳回幾個屬性，如下所示。 這些屬性也會預先填入，但您可以根據您的需求檢閱這些屬性。

   名字	來源屬性
   使用者名稱	使用者用戶主名稱 (user.userprincipalname)
   管理員角色	customadmin

   注意

   如上所示，Name 值為 adminrole，應與 Admin 角色屬性 相同，此屬性在 Configure Palo Alto Networks - Admin UI SSO 章節的步驟 12 中設定。 上述 Source Attribute 的值顯示為 customadmin，應與在 Palo Alto Networks - Admin UI SSO設定一節第步驟 9 中配置的 管理員角色配置檔名稱相同。

   注意

   如需屬性的詳細資訊，請參閱下列文章：

   • 管理介面的管理角色設定檔（adminrole）
   • 系統管理員 UI 的裝置存取網域 （accessdomain）

8. 在設定 SAML 單一登入頁面上的SAML 簽署憑證區段中，選取下載，從指定選項下載聯邦中繼資料 XML，並根據需要將其儲存於您的電腦上。

   

9. 在 設定 Palo Alto Networks - Admin UI 區段中，根據您的需求複製合適的 URL。

   

建立並指派Microsoft Entra 測試使用者

請遵循 建立並指派用戶帳戶 快速入門中的指導方針，以建立名為 B.Simon 的測試用戶帳戶。

設定 Palo Alto Networks - Admin UI SSO

1. 在新視窗中以系統管理員身分開啟 Palo Alto Networks Firewall Admin UI。

2. 選取 [裝置] 索引標籤。

   

3. 在左窗格中，選取 [SAML 識別提供者]，然後選取 [匯入] 來匯入中繼資料檔案。

   

4. 在 [SAML 識別提供者伺服器配置檔匯入] 視窗中，執行下列動作：

   

   一個。 在 [配置文件名稱] 方塊中，輸入名稱（例如，Microsoft Entra Admin UI）。

   b。 在 [識別提供者元數據] 下，選取 [流覽]，然後選取您稍早下載的 metadata.xml 檔案。

   丙. 清除 [驗證身份提供者憑證] 核取方塊。

   d。 選取 [確定] 。

   ｅ。 若要提交防火牆上的組態，請選取 [提交]。

5. 在左窗格中，選取 [SAML 識別提供者]，然後選取您在上一個步驟中建立的 SAML 識別提供者配置檔（例如，Microsoft Entra Admin UI]。

   

6. 在 [SAML Identity Provider Server Profile] 視窗中，執行下列動作：

   

   一個。 在 [識別提供者 SLO URL] 方塊中，將先前匯入的 SLO URL 取代為下列 URL：https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

   b。 選取 [確定] 。

7. 在 Palo Alto Networks Firewall 的系統管理 UI 上，選取 [裝置]，然後選取 [系統管理員角色]。

8. 選取 [新增] 按鈕。

9. 在 [系統管理員角色配置檔] 視窗中，於 [名稱] 方塊中，提供系統管理員角色的名稱（例如，fwadmin）。 系統管理員角色名稱應該符合識別提供者所傳送的 SAML 管理員角色屬性名稱。 在 用戶屬性 區段中建立了系統管理員角色名稱和值。

   

10. 在防火牆的 [系統管理 UI] 上，選取 [裝置]，然後選取 [驗證配置檔]。

11. 選取 [新增] 按鈕。

12. 在 [驗證配置檔] 視窗中，執行下列動作：

    

    一個。 在 [名稱] 方塊中，提供名稱（例如，AzureSAML_Admin_AuthProfile）。

    b。 在 [類型] 下拉式清單中，選取 [SAML ]。

    丙. 在 [IdP 伺服器設定檔] 下拉式清單中，選取適當的 SAML 識別提供者伺服器設定檔（例如，Microsoft Entra Admin UI）。

    d。 選取 [啟用單一登出] 複選框。

    ｅ。 在 [管理員角色屬性] 方塊中，輸入屬性名稱（例如，adminrole）。

    f。 選取 [進階] 標籤，然後在 [允許清單] 下，選取 [新增]。

    

    g。 選取「全部」 勾選框，或選取可使用此設定檔驗證的使用者和群組。
    當使用者驗證時，防火牆會將相關聯的使用者名稱或群組與此清單中的條目進行比對。 如果您未新增條目，則無法讓使用者進行身份驗證。

    h。 選取 [確定] 。

13. 若要讓系統管理員能夠使用 Azure 啟用 SAML SSO，請選擇 [裝置>設定]。 在 [安裝程式] 窗格中，選取 [管理] 索引卷標，然後在 [驗證設定]下，選取 [設定] [齒輪] 按鈕。

    

14. 選取您在 [驗證配置檔] 視窗中建立的 [SAML 驗證配置檔] 設定檔（例如，AzureSAML_Admin_AuthProfile]。

    

15. 選取 [確定] 。

16. 若要提交組態，請選取 [提交]。

建立 Palo Alto Networks 管理介面測試使用者

Palo Alto Networks - 系統管理 UI 支援即時使用者布建。 如果使用者還不存在，在成功驗證之後，系統會自動建立使用者。 您不需要採取任何動作來建立使用者。

測試 SSO

在本節中，您會使用下列選項來測試Microsoft Entra 單一登錄設定。

• 選取 [測試此應用程式]，此選項會重新導向至 Palo Alto Networks - Admin UI 登入 URL，您可以在其中起始登入流程。

• 直接移至 Palo Alto Networks - Admin UI 登入 URL，然後從該處起始登入流程。

• 您可以使用Microsoft我的應用程式。 當您在我的應用程式中選取 Palo Alto Networks - Admin UI 圖格時，應該會自動登入您已設定 SSO 的 Palo Alto Networks - Admin UI。 如需 My Apps 的詳細資訊，請參閱 My Apps簡介。

相關內容

設定 Palo Alto Networks - 系統管理 UI 后，您可以強制執行會話控件，以即時防止組織的敏感數據遭到外洩和滲透。 會話控制從條件式存取擴展。 瞭解如何使用適用於 Cloud Apps 的 Microsoft Defender強制執行會話控制。