<div dir="ltr"><div dir="ltr">We also use GlobalProtect and also did not need to do anything unusual with our IdP metadata. Our certificate is self-signed and does not contain Subject Type = CA.</div><div dir="ltr"><br></div><div>The metadata that we have imported for GlobalProtect does not contain any certificates so we cannot encrypt assertions with this relying party. We have confirmed that GP does verify the signature on our SAML responses.</div><div dir="ltr"><br></div><div>The integration was not straightforward to work out, but in the end did not require any particularly unusual configurations. I found that the docs at <a href="https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/authentication/configure-saml-authentication">https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/authentication/configure-saml-authentication</a> provided a better explanation of some of GlobalProtect's constraints and settings. These docs are not for GlobalProtect, but cover very similar configuration steps and document some settings that are undocumented in the equivalent GP guide.</div><div><br></div><div>A few excerpts from the above:<br><br>"Palo Alto Networks requires HTTPS to ensure the confidentiality of all SAML transactions instead of alternative approaches such as encrypted SAML assertions. To ensure the integrity of all messages processed in a SAML transaction, Palo Alto Networks requires digital certificates to cryptographically sign all messages." <br><br>It also clarifies: Validate Identity Provider Certificate as meaning "to validate the chain of trust and optionally the revocation status of the IdP certificate.<br>To enable this option, a Certificate Authority (CA) must issue your IdP’s signing certificate. You must create a Certificate Profile that has the CA that issued the IdP’s signing certificate. In the Authentication Profile, select the SAML Server profile and Certificate Profile to validate the IdP certificate.<br>If your IdP signing certificate is a self-signed certificate, there is no chain of trust; as a result, you cannot enable this option. The firewall always validates the signature of the SAML Responses or Assertions against the Identity Provider certificate that you configure whether or not you enable the Validate Identity Provider Certificate option."<br><br>Finally, it says "You can also use a certificate for the firewall to sign SAML messages." and later on does not mark this as required.<br></div><div><br></div><div>I hope that helps,</div><div><br></div><div>Max Spicer</div><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 9 Jun 2022 at 20:58, Steve Herrera via users <<a href="mailto:users@shibboleth.net">users@shibboleth.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">I just tried this and it worked. Instead of creating the different profiles and uploading the certificate manually, the import under SAML Identity providers automatically pulled it in and created the device certificate as well. <div><br></div><div>Thank you.<br><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jun 9, 2022 at 2:19 PM db--- via users <<a href="mailto:users@shibboleth.net" target="_blank">users@shibboleth.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">We’re using GP with SAML/ Shibb in users’ default browser. Like Paul’s experience, there were some sighs and groans from network engineers configuring the PA side, but I provided our normal IdP metadata and importing that did not seem an issue. I did have to remove the encryption key from the GP metadata to stop assertion encryption because GP could not decrypt assertions encrypted with the key they provided. I’d like to fix that, but it was deemed acceptable.<br><br><div dir="ltr"><div>David.Bantz<span>@Alaska.edu</span><div><span><br></span></div></div></div><div dir="ltr"><br><blockquote type="cite">On Jun 9, 2022, at 10:53, Steve Herrera via users <<a href="mailto:users@shibboleth.net" target="_blank">users@shibboleth.net</a>> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><div dir="ltr">Yes please. It looks as though others have run into the same issue I have and found alternative methods to get around it. If your network guy could let the rest of use know how he imported it, I think it would help a lot of people.<br clear="all"><div><div dir="ltr"><div dir="ltr"><br></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jun 9, 2022 at 1:49 PM Paul B. Henson <<a href="mailto:henson@cpp.edu" target="_blank">henson@cpp.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> From: Steven Teixeira<br>
> Sent: Thursday, June 9, 2022 9:05 AM<br>
> <br>
> So first off, get ready for some pain and suffering when it comes to PAN.<br>
<br>
Ah, the joy of PAN; not VPN related, but I always love it when it misclassifies something as a "threat" and things mysteriously stop working because some of their packets get quietly dropped on the floor and not delivered <sigh>.<br>
<br>
> You’re getting that error because PAN requires that the “Subject Type=CA”<br>
> basic restraint be included in the self-signed certificate.  Shibboleth doesn’t<br>
> generate a self-signed certificate at install time with this constraint.<br>
<br>
We are using SAML auth for our PAN VPN, and I don't recall having to do that. It was an annoying process going back and forth with the network guy setting it up, but in the end it accepted our usual metadata including the default self signed certificate the IDP generated once upon a time when I originally installed it.<br>
<br>
It's been a while, but I remember vaguely they had to configure it differently than they initially tried. But we definitely did not have to do anything weird on the shibboleth side with the certificate. I wouldn't of done that, PAN would have had to fix their crap or we wouldn't have done SAML.<br>
<br>
I could ask our network guy how he configured it if you want, but his recollection is probably going to be about as vague as mine 8--/. I'll poke him and see.<br>
<br>
<br>
--<br>
Paul B. Henson  |  (909) 979-6361  |  <a href="http://www.cpp.edu/~henson/" rel="noreferrer" target="_blank">http://www.cpp.edu/~henson/</a><br>
Operating Systems and Network Analyst  |  <a href="mailto:henson@cpp.edu" target="_blank">henson@cpp.edu</a><br>
California State Polytechnic University  |  Pomona CA 91768<br>
<br>
<br>
-- <br>
For Consortium Member technical support, see <a href="https://shibboleth.atlassian.net/wiki/x/ZYEpPw" rel="noreferrer" target="_blank">https://shibboleth.atlassian.net/wiki/x/ZYEpPw</a><br>
To unsubscribe from this list send an email to <a href="mailto:users-unsubscribe@shibboleth.net" target="_blank">users-unsubscribe@shibboleth.net</a><br>
</blockquote></div>
<span>-- </span><br><span>For Consortium Member technical support, see <a href="https://shibboleth.atlassian.net/wiki/x/ZYEpPw" target="_blank">https://shibboleth.atlassian.net/wiki/x/ZYEpPw</a></span><br><span>To unsubscribe from this list send an email to <a href="mailto:users-unsubscribe@shibboleth.net" target="_blank">users-unsubscribe@shibboleth.net</a></span><br></div></blockquote></div>-- <br>
For Consortium Member technical support, see <a href="https://shibboleth.atlassian.net/wiki/x/ZYEpPw" rel="noreferrer" target="_blank">https://shibboleth.atlassian.net/wiki/x/ZYEpPw</a><br>
To unsubscribe from this list send an email to <a href="mailto:users-unsubscribe@shibboleth.net" target="_blank">users-unsubscribe@shibboleth.net</a><br>
</blockquote></div>
-- <br>
For Consortium Member technical support, see <a href="https://shibboleth.atlassian.net/wiki/x/ZYEpPw" rel="noreferrer" target="_blank">https://shibboleth.atlassian.net/wiki/x/ZYEpPw</a><br>
To unsubscribe from this list send an email to <a href="mailto:users-unsubscribe@shibboleth.net" target="_blank">users-unsubscribe@shibboleth.net</a><br>
</blockquote></div><div><br></div></div>