Nicht übereinstimmende Benutzer-ID für GlobalProtect Benutzer, die sich authentifizieren mit SAML

29711

Created On 02/16/21 02:51 AM - Last Modified 10/31/24 14:27 PM

Symptom

Benutzer können nicht die richtige Gateway-Konfiguration erhalten

Der globalprotect Client erhält nicht die erwartete Konfiguration

Der Client versucht, eine Verbindung zum GlobalProtect Gateway herzustellen, erhält jedoch nicht die richtige Netzwerkkonfiguration: Im obigen Diagramm fungiert er als vollständiger Tunnel und nicht als geteilter Tunnel.
Falls nur 1 Konfiguration auf dem Gateway, in den firewall Protokollen und auf dem GP Agenten vorhanden ist, wird die Meldung "Maching-Client-Konfiguration nicht gefunden" angezeigt.

Verbundene Benutzer gleichen Sicherheit policy nicht mit UserID-Parametern ab

Der Benutzername der verbundenen Benutzer stimmt nicht mit den Sicherheitsrichtlinien überein.

Environment

Palo Alto Firewall
PAN-OS 8.1 und höher.
GlobalProtect Gateway mit spezifischen Konfigurationen für Benutzer/Gruppen
SAML bestätigung

Cause

Das username-Attribut von SAML hat nicht das erwartete Format für firewall.
Das erwartete Format ist das primäre Format, das in der Gruppenzuordnungskonfiguration festgelegt wurde.

Um das primäre Format anzuzeigen, gehen Sie zu Geräte>Benutzeridentifikation>Gruppenzuordnungseinstellungen>Add>Benutzer- und Gruppenattribute
Das primäre Benutzernamenformat wird durch die Gruppenzuordnungskonfiguration definiert.

Das primäre Benutzernamenformat wird durch die Gruppenzuordnungskonfiguration definiert.

Hinweis: Bei der Authentifizierung wird der SAML Wert username nicht überschrieben. Wenn der Benutzername beispielsweise im Format Domäne\Benutzername vorliegen muss, muss er aus der SAML Quelle formatiert werden.

Resolution

Passen Sie das username-Attribut an das SAML primäre Benutzernamenformat auf dem IdP an.

Additional Information