SAML échec de l’authentification pour l’utilisateur (vsys) avec Raison : « L’utilisateur n’est pas dans la liste d’autorisation » après la mise à niveau vers la firewall version 10.1.x
14066
Created On 08/17/22 02:01 AM - Last Modified 03/24/23 07:30 AM
Symptom
• Après la mise à niveau vers PAN-OS la version 10.1.x, les utilisateurs (vsys) ne peuvent pas se connecter GP VPN en raison d’un échec d’authentification.
• SAML SSO échec de l’authentification pour l’utilisateur (vsys) avec Raison : « L’utilisateur n’est pas dans la liste d’autorisation » dans le journal système/authd.log
Environment
- GlobalProtectavec SAML profil d’authentification
- NGFW Firewall avec (multi-vsys)
- SAML Profil d’authentification dans un emplacement partagé
- Mise à niveau de PAN-OS la version 10.0 ou antérieure vers la PAN-OS version 10.1.4
Cause
- Dans PAN-OS la version 10.1 et ultérieure, la demande d’authentification est envoyée avec vsys spécifique (par exemple, vsys2) et le profil d’authentification est défini dans shared.
- Par conséquent, la liste verte n’a pas pu trouver le profil d’authentification et la vérification de la liste d’autorisation échoue pour les utilisateurs vsys après la mise à niveau de la vers la firewall version 10.1.x
- Avant la PAN-OS version 10.1, la demande d’authentification était effectuée dans un emplacement partagé.
- Il existe un problème PAN-190454 connu et la version du correctif cible est 10.1.9, PAN-OS 11.0.1, 10.2.4
Resolution
Mise à niveau vers la version 10.1.9, 11.0.1 ou 10.2.4 pour résoudre les PAN-190454
problèmes Solution de contournement
Déplacer le profil d’authentification de l’emplacement partagé vers PAN-OS le SAML vsys correspondant