GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через AWS SSO.
AWS
Перед тем как добавить SAML IdP у вас должен быть уже настроен AWS Directory Service
Для начала добавим приложение, для этого переходим «IAM Identity Center» -> «Application assignments» -> «Application»
И кликаем «Add Application»
Приложения для GlobalProtect в списке нет, поэтому указываем это будет пользовательское приложение и кликаем «Next»
Указываем имя и описание
Далее в разделе «Application properties» в поле «Application start URL» указываем следующее:
https://YOUR_GP_DOMAIN/global-protect/getsoftwarepage.esp
Для того, чтобы с портала AWS SSO мы могли попадать на страницу скачивания GlobalProtect клиента
В разделе «Application metadata» в поле «Application ACS URL» указываем следующее:
https://YOUR_GP_DOMAIN:443/SAML20/SP/ACS
И в поле «Application SAML audience«:
https://YOUR_GP_DOMAIN:443/SAML20/SP
После чего скачиваем SAML Metadata файл, спускаемся вниз и нажимаем «Submit»
После того как добавили приложение нужно убедится, что используется нужный формат аттрибутов. Для этого во вкладке «Actions» выбираем «Edit attribute mapping»
Необходимый формат:
- Value: ${user.subject}
- Format: emailAddress
На этом настройка со стороны AWS завершена.
Firewall
Импортируем SAML Metadata файл, для этого переходим во вкладку «Device» -> «Server Profiles» -> «SAML Identity Provider» и в левом нижнем углу выбираем «Import»
Параметр «Validate Identity Provider Certificate» — должен быть отключен
Создадим Authentication Profile, для этого переходим во вкладку «Device» -> «Authentication Profile» и выбираем «Add«. Указываем имя и в поле «IdP Server Profile» выбираем профиль, который импортировали в предыдущем шаге, все остальные настройки оставляем по умолчанию.
Переходим во вкладку «Advanced» и в «Allow List» добавляем «all«.
Кликаем «OK» и сохраняем изменения, для этого в правом верхнем углу кликаем «Commit«. Теперь мы можем использовать этот Authentication Profile для авторизации в GlobalProtect.