不同的SAML主要和次要设备所需的配置文件 HA
21284
Created On 03/25/19 06:20 AM - Last Modified 05/15/23 09:47 AM
Symptom
- 管理员身份验证设置在设备之间同步HA在本地配置时。
- 自从SAML配置在两个设备之间同步,都开始使用相同的身份验证设置SAML像 Okta 这样的供应商。
- 这会产生一个问题,因为其中一个设备的身份验证将失败。
Environment
- Panorama 管理Prisma Access防火墙
- 配置高可用性
- SAML 身份验证使用 OKTA
Cause
- 通常,Okta 有一个选项“允许这个app请求其他SSOURL 并提供 RequestableSSO " 创建单个自定义时app为了SSO.
- 此选项允许部署中的多个 IdS 节点使用相同的SSO URL.
- 如果您使用 Okta/Paltonetwork 集成应用程序“帕洛阿尔托网络 - 管理员UI",该选项不可用。
- 这可以防止用户登录到主设备或辅助设备HA.
Resolution
- 设置自定义app在 Okta 上与“允许这个app请求其他SSOURL 并提供 RequestableSSO " 选项已启用。
- 添加请求SSO两个设备的 URL。 工作流程类似于:SAML使用 Okta 作为 IdP 的身份验证Mobile Users
Additional Information
解决方法:(适用于Panorama管理PA防火墙)
- 推不同SAML设备配置文件HA使用不同的模板Panorama.
- 这是有效的,因为Panorama推送的配置在设备之间不同步HA.
- 这将允许关联不同的SAML两种设备上的管理员配置文件。