Unterschiedliche SAML Profile, die für primäre und sekundäre Geräte in HA
21276
Created On 03/25/19 06:20 AM - Last Modified 05/15/23 09:48 AM
Symptom
- Die Einstellungen für die Administratorauthentifizierung werden zwischen Geräten HA synchronisiert, wenn sie lokal konfiguriert sind.
- Da SAML die Konfiguration zwischen den beiden Geräten synchronisiert wird, verwenden beide die gleichen Einstellungen für die Authentifizierung bei SAML Anbietern wie Okta.
- Dies führt zu einem Problem, da die Authentifizierung für eines der Geräte fehlschlägt.
Environment
- Panorama verwaltete Prisma Access Firewalls
- Hochverfügbarkeit konfiguriert
- SAML Authentifizierung mit OKTA
Cause
- Normalerweise verfügt Okta über die Option "Zulassen app , dass andere SSO URLs angefordert werden und die angeforderten URLs bereitgestellt SSOwerden", wenn eine einzelne benutzerdefinierte URL app für SSOerstellt wird.
- Mit dieser Option können mehrere IdS-Knoten in der Bereitstellung dieselbe SSO URL.
- Wenn Sie die integrierte Okta/Paltonetwork-Anwendung "Palo Alto Networks - Admin UI" verwenden, ist diese Option nicht verfügbar.
- Dadurch wird verhindert, dass sich Benutzer entweder am primären oder am sekundären Gerät in HA.
Resolution
- Richten Sie benutzerdefinierte app Einstellungen in Okta ein, wobei die Option "Zulassen app , dass andere SSO URLs angefordert werden, und die Option Anforderbar bereitstellen SSO" aktiviert ist.
- Fügen Sie anforderbare SSO URLs für beide Geräte hinzu. Der Workflow ähnelt dem: SAML Authentifizierung mit Okta als IdP für Mobile Users
Additional Information
Problemumgehung: (Gilt für Panorama verwaltete Firewalls PA )
- Übertragen Sie verschiedene Profile auf Geräte, indem HA Sie verschiedene SAML Vorlagen aus Panorama.
- Dies funktioniert, weil Panorama die Push-Konfiguration nicht zwischen Geräten in HA.
- Auf diese Weise können Administratoren auf beiden Geräten unterschiedliche SAML Profile zugeordnet werden.