![](https://artem.services/wp-content/uploads/2022/09/palo-alto-logo.png)
GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через AWS SSO.
AWS
Перед тем как добавить SAML IdP у вас должен быть уже настроен AWS Directory Service
Для начала добавим приложение, для этого переходим «IAM Identity Center» -> «Application assignments» -> «Application»
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-13.19.41.png)
И кликаем «Add Application»
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-13.19.49.png)
Приложения для GlobalProtect в списке нет, поэтому указываем это будет пользовательское приложение и кликаем «Next»
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-13.27.11.png)
Указываем имя и описание
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-13.32.13.png)
Далее в разделе «Application properties» в поле «Application start URL» указываем следующее:
https://YOUR_GP_DOMAIN/global-protect/getsoftwarepage.esp
Для того, чтобы с портала AWS SSO мы могли попадать на страницу скачивания GlobalProtect клиента
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-13.33.07.png)
В разделе «Application metadata» в поле «Application ACS URL» указываем следующее:
https://YOUR_GP_DOMAIN:443/SAML20/SP/ACS
И в поле «Application SAML audience«:
https://YOUR_GP_DOMAIN:443/SAML20/SP
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-13.33.47.png)
После чего скачиваем SAML Metadata файл, спускаемся вниз и нажимаем «Submit»
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-13.42.13.png)
После того как добавили приложение нужно убедится, что используется нужный формат аттрибутов. Для этого во вкладке «Actions» выбираем «Edit attribute mapping»
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-14.49.53.png)
Необходимый формат:
- Value: ${user.subject}
- Format: emailAddress
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-13.45.08.png)
На этом настройка со стороны AWS завершена.
Firewall
Импортируем SAML Metadata файл, для этого переходим во вкладку «Device» -> «Server Profiles» -> «SAML Identity Provider» и в левом нижнем углу выбираем «Import»
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-15.22.21.png)
Параметр «Validate Identity Provider Certificate» — должен быть отключен
Создадим Authentication Profile, для этого переходим во вкладку «Device» -> «Authentication Profile» и выбираем «Add«. Указываем имя и в поле «IdP Server Profile» выбираем профиль, который импортировали в предыдущем шаге, все остальные настройки оставляем по умолчанию.
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-15.28.37.png)
Переходим во вкладку «Advanced» и в «Allow List» добавляем «all«.
![](https://artem.services/wp-content/uploads/2022/10/Screenshot-2022-10-26-at-15.28.53.png)
Кликаем «OK» и сохраняем изменения, для этого в правом верхнем углу кликаем «Commit«. Теперь мы можем использовать этот Authentication Profile для авторизации в GlobalProtect.