SAML Error de autenticación para el usuario (vsys) con Motivo: "El usuario no está en la lista de permitidos" después de actualizar firewall a 10.1.x
14060
Created On 08/17/22 02:01 AM - Last Modified 03/24/23 07:30 AM
Symptom
• Después de actualizar a 10.1.x, los usuarios de (vsys) no pueden conectarse GP VPN debido a PAN-OS un error de autenticación.
• SAML SSO Error de autenticación para el usuario (vsys) con Motivo: "El usuario no está en la lista de permitidos" en el registro del sistema/authd.log
Environment
- GlobalProtectcon SAML perfil de autenticación
- NGFW Firewall con (multi-vsys)
- SAML Perfil de autenticación en ubicación compartida
- Actualizado de PAN-OS 10.0 o inferior a PAN-OS 10.1.4
Cause
- En PAN-OS la versión 10.1 y posteriores, la solicitud de autenticación se envía con vsys específico (por ejemplo, vsys2) y el perfil de autenticación se define en compartido.
- Por lo tanto, la lista de permitidos no pudo encontrar el perfil de autenticación y se produce un error en la comprobación de la lista de permitidos para los usuarios de vsys después de actualizar a firewall 10.1.x
- PAN-OS Antes de la versión 10.1, la solicitud de autenticación se realizaba en una ubicación compartida.
- Hay un problema PAN-190454 conocido y la versión de corrección de destino es 10.1.9, PAN-OS 11.0.1, 10.2.4
Resolution
Actualizar a PAN-OS 10.1.9, 11.0.1 o 10.2.4 para solucionar la PAN-190454
solución alternativa
Mover el SAML perfil de autenticación de la ubicación compartida al vsys correspondiente