違うSAMLのプライマリ デバイスとセカンダリ デバイスに必要なプロファイル HA
27827
Created On 03/25/19 06:20 AM - Last Modified 05/15/23 09:47 AM
Symptom
- 管理者認証設定はデバイス間で同期されます。HAローカルで構成されている場合。
- 以来SAML構成は 2 つのデバイス間で同期され、両方のデバイスが認証に同じ設定を使用し始めます。SAML Okta のようなプロバイダー。
- これにより、デバイスの 1 つで認証が失敗するため、問題が発生します。
Environment
- Panorama 管理されたPrisma Accessファイアウォール
- 高可用性が構成されています
- SAML を使用した認証 OKTA
Cause
- 通常、Okta には「」というオプションがあります。これを許可しますappその他をリクエストするSSOURL を指定し、リクエスト可能なものを提供しますSSO"単一のカスタムを作成する場合appためにSSO。
- このオプションを使用すると、デプロイメント内の複数の IdS ノードが同じものを使用できるようになります。SSO URL 。
- Okta/Paltonnetwork 統合アプリケーションを使用している場合パロアルトネットワークス - 管理者UI」の場合、オプションは使用できません。
- これにより、ユーザーはプライマリ デバイスまたはセカンダリ デバイスにログインできなくなります。HA 。
Resolution
- セットアップカスタムappOkta では「これを許可しますapp他にリクエストするSSOURL を指定し、リクエスト可能なものを提供しますSSO" オプションが有効になりました。
- リクエスト可能を追加SSO両方のデバイスの URL。 ワークフローは次のようになります。SAML IdP として Okta を使用した認証Mobile Users
Additional Information
回避策: (以下に適用可能)Panorama管理されたPAファイアウォール)
- 違うものをプッシュするSAMLデバイスへのプロファイルHA~の異なるテンプレートを使用するPanorama。
- これが機能する理由は、Panoramaプッシュされた設定はデバイス間で同期されませんHA。
- これにより、異なるものを関連付けることができますSAML両方のデバイスの管理者にプロファイルを送信します。