ID de usuario que no coincide con los usuarios que se autentican con GlobalProtect SAML

29707

Created On 02/16/21 02:51 AM - Last Modified 10/31/24 14:27 PM

Symptom

Los usuarios no pueden obtener la configuración de puerta de enlace correcta

El globalprotect cliente no obtiene la configuración esperada

El cliente está intentando conectarse a la puerta de enlace, pero no recibe la GlobalProtect configuración de red correcta: en el diagrama anterior, está actuando como túnel completo en lugar de actuar en túnel dividido.
En caso de que solo haya 1 configuración en la puerta de enlace, en los firewall registros y en el agente, el GP mensaje que se ve es "no se encontró la configuración del cliente de mecanizado"

Los usuarios conectados no coinciden con la seguridad policy con los parámetros de ID de usuario

El nombre de usuario de los usuarios conectados no coincidirá con las políticas de seguridad.

Environment

Palo Alto Firewall
PAN-OS 8.1 y superior.
GlobalProtect Gateway con configuraciones específicas para usuarios/grupos
SAML Autenticación

Cause

El atributo username de SAML no está en el formato esperado para el firewall.
El formato esperado es el formato principal establecido en la configuración de asignación de grupos.

Para ver el formato principal, vaya a Identificación de dispositivo>Usuario>Configuración de asignación de grupos>Agregar>Atributos de usuario y grupo
El formato de nombre de usuario principal se define mediante la configuración de asignación de grupos.

El formato de nombre de usuario principal se define mediante la configuración de asignación de grupos.

Nota: La SAML autenticación no anula el valor de nombre de usuario. Por ejemplo, si se requiere que el nombre de usuario esté en formato dominio\nombre de usuario , debe formatearse desde el SAML origen.

Resolution

Personalice el atributo username para que coincida con el formato de nombre de usuario principal en el SAML IdP.

Additional Information