Configurer les paramètres facultatifs

La passerelle Palo Alto Networks prend plusieurs paramètres facultatifs en charge.

Configurer le signalement de l'IP du client

Le pare-feu de prochaine génération (NGFW) Palo Alto Networks ne transmet pas l'IP du client à l'aide de paires de valeurs d'attributs classiques (AVP) comme 31 (Calling-Station-Id). Il transmet plutôt les données avec un attribut propre au fournisseur (VSA).

Suivez ces étapes pour configurer Okta de manière à analyser, générer des rapports et appliquer des politiques basées sur l'adresse IP du client source :

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Dans la liste des applications, trouvez Okta Palo Alto Radius App.
  3. Dans la section Paramètres RADIUS avancés, sélectionnez Signaler l'IP du client.
  4. Pour Attributs RADIUS d'IP de l'utilisateur final, sélectionnez 26 Vendor-Specific, puis saisissez 7.
  5. Cliquez sur Enregistrer.
  6. Ouvrez l'interpréteur de commandes administratives de Palo Alto Networks et exécutez la commande suivante :

    set authentication radius-vsa-on client-source-ip

Configurer les options de réponses de groupes

La passerelle Palo Alto Network ne reçoit pas les groupes à l'aide des paires attribut-valeur (AVP) classiques 11 (Filter-id) et 25 (Class). Il utilise un VSA à la place.

Pour configurer l'application de manière à envoyer les informations du groupe RADIUS dans les attributs spécifiques d'un fournisseur, procédez comme suit :

  1. Dans l'Admin Console, accédez à ApplicationsApplications.

  2. Recherchez l'application à l'aide du champ Rechercher, puis cliquez sur son nom dans les résultats de recherche.
  3. Sélectionnez l'onglet Connexion.
  4. Faites défiler l'écran jusqu'à la section Paramètres avancés de RADIUS, puis cliquez sur Modifier.
  5. Dans la section Réponse de groupes, complétez les options suivantes :
    1. Sélectionnez Inclure les groupes dans la réponse RADIUS.
    2. Dans la sous-section Attribut RADIUS, sélectionnez 26-spécifique au fournisseur.
    3. Dans le champ ID propre au fournisseur, saisissez le code numérique ID du fournisseur pour votre produit :
      • Cisco ASA-Group-Policy : 3076
      • Citrix Group-Names : 3845
      • Fortinet Group-Name : 12356
      • Palo Alto User-Group : 25461

      Si l'ID spécifique à votre fournisseur n'apparaît pas ici, recherchez-le dans la documentation de votre produit.

    4. Dans le champ ID d'attribut, saisissez l'ID d'attribut numérique pour votre produit :
      • Cisco ASA-Group-Policy : 25
      • Citrix Group-Names : 16
      • Fortinet Group-Name : 1
      • Palo Alto User-Group : 5

      Si votre ID d'attribut n'apparaît pas ici, recherchez l'attribut de politique de groupe dans la documentation de votre produit.

  6. Cliquez sur Enregistrer.

La longueur maximale de la valeur d'appartenance au groupe est de 247 octets. Si la longueur du nom de groupe dépasse cette limite, des valeurs tronquées et partielles sont renvoyées. Configurez la réponse comme un ensemble d'attributs répétés au lieu d'utiliser une seule liste délimitée.

Éviter les invites de doubles informations d'identification dans GlobalProtect

Dans certains cas, GlobalProtect demande les informations d'identification deux fois lorsqu'il est configuré avec Okta RADIUS. Vous pouvez éviter cela en activant les cookies pour le processus de connexion à GlobalProtect. Le portail GlobalProtect génère un cookie après la connexion d'un utilisateur . Le portail GlobalConnect génère un cookie accepté par la passerelle RADIUS dans un délai bref (généralement 60 secondes ou moins).

Activer la génération de cookie sur le portail GlobalProtect

  1. Connectez-vous au portail GlobalProtect.
  2. Accédez à RéseauGlobalProtectPortails.
  3. Cliquez sur Profil du portail.
  4. Sélectionnez l'onglet Agent, puis cliquez sur Configuration de l'agent.
  5. Activez Générer un cookie pour la substitution de l'authentification.
  6. Dans Durée de vie du cookie, saisissez la durée de vie en secondes. Pour RADIUS, elle correspond généralement à 60-90 secondes.
  7. Dans Chiffrer/déchiffrer le cookie, sélectionnez un certificat.

Activer l'acceptation du cookie dans la passerelle GlobalProtect.

  1. Rendez-vous à RéseauGlobalProtectPasserelles.
  2. Ouvrez le profil de la passerelle.
  3. Sélectionnez l'onglet Agent.
  4. Cliquez sur Paramètres du client puis ouvrez Configuration du client.
  5. Sélectionnez l'onglet Substitution de l'authentification et activez Accepter un cookie pour la substitution de l'authentification.
  6. Dans Durée de vie du cookie, saisissez la durée de vie en secondes. Pour RADIUS, elle correspond généralement à 60-90 secondes.
  7. Dans Chiffrer/déchiffrer le cookie, sélectionnez un certificat. Sélectionnez le même certificat que celui que vous avez sélectionné dans Activer la génération de cookies sur le portail GlobalProtect.