Diferentes SAML perfiles necesarios para dispositivos primarios y secundarios en HA
21272
Created On 03/25/19 06:20 AM - Last Modified 05/15/23 09:47 AM
Symptom
- La configuración de autenticación de administrador se sincroniza entre dispositivos cuando HA se configura localmente.
- Dado que SAML la configuración se sincroniza entre los dos dispositivos, ambos comienzan a usar la misma configuración para la autenticación con un SAML proveedor como Okta.
- Esto crea un problema ya que la autenticación fallará para uno de los dispositivos.
Environment
- Panorama Firewalls administrados Prisma Access
- Alta disponibilidad configurada
- SAML autenticación mediante OKTA
Cause
- Normalmente, Okta tiene una opción de "Permitir esto app para solicitar otras SSO URL y proporcionar el Solicitable SSO" al crear una sola personalizada app para SSO.
- Esta opción permite que varios nodos IdS en la implementación utilicen el mismo SSO URL.
- Si utiliza la aplicación integrada de Okta/Paltonetwork "Palo Alto Networks - Admin UI", la opción no está disponible.
- Esto impide que los usuarios inicien sesión en el dispositivo principal o secundario en HA.
Resolution
- Configuración personalizada app en Okta con la opción "Permitir que esto app solicite otras SSO URL y proporcione la opción Solicitable SSO" habilitada.
- Agregar URL solicitables SSO para ambos dispositivos. El flujo de trabajo es similar a: SAML Autenticación mediante Okta como IdP para Mobile Users
Additional Information
Solución alternativa: (aplicable para Panorama firewalls administrados PA )
- Insertar diferentes perfiles en dispositivos mediante HA diferentes SAML plantillas de Panorama.
- Esto funciona porque Panorama la configuración insertada no se sincroniza entre los dispositivos en HA.
- Esto permitirá asociar diferentes SAML perfiles a los administradores en ambos dispositivos.