Différents SAML profils nécessaires pour les périphériques principaux et secondaires dans HA
27833
Created On 03/25/19 06:20 AM - Last Modified 05/15/23 09:47 AM
Symptom
- Les paramètres d’authentification administrateur sont synchronisés entre les appareils lorsqu’ils HA sont configurés localement.
- Étant donné que SAML la configuration est synchronisée entre les deux appareils, les deux commencent à utiliser les mêmes paramètres d’authentification auprès d’un SAML fournisseur comme Okta.
- Cela crée un problème car l’authentification échouera pour l’un des appareils.
Environment
- Panorama Pare-feu gérés Prisma Access
- Haute disponibilité configurée
- SAML authentification à l’aide de OKTA
Cause
- Normalement, Okta dispose d’une option « Autoriser ceci app à demander d’autres URL et à fournir la demande » lors de la création d’une SSO SSOpersonnalisation app unique pour SSO.
- Cette option permet à plusieurs nœuds IdS en déploiement d’utiliser le même SSO URLfichier .
- Si vous utilisez l’application intégrée Okta/Paltonetwork « Palo Alto Networks - Admin UI», l’option n’est pas disponible.
- Cela empêche les utilisateurs de se connecter au périphérique principal ou secondaire dans HA.
Resolution
- Configurez la personnalisation sur Okta avec l’option « Autoriser app ceci à demander d’autres SSO URL et fournir la SSOapp demande » activée.
- Ajoutez des URL pouvant être SSO demandées pour les deux appareils. Le workflow est similaire à : SAML Authentification Utiliser Okta comme IdP pour Mobile Users
Additional Information
Solution : (applicable aux Panorama pare-feu gérés PA )
- Poussez différents profils vers des appareils à l’aide de différents SAML modèles de Panorama.HA
- Cela fonctionne car Panorama la configuration poussée n’est pas synchronisée entre les périphériques dans HA.
- Cela permettra d’associer différents SAML profils aux administrateurs sur les deux appareils.