Ne pas correspondre l’ID utilisateur pour GlobalProtect les utilisateurs qui s’authentifient auprès de SAML

29577

Created On 02/16/21 02:51 AM - Last Modified 10/31/24 14:27 PM

Symptom

Les utilisateurs ne peuvent pas obtenir la bonne configuration de passerelle

Le globalprotect client n’obtient pas la configuration attendue

Le client tente de se connecter à la passerelle, mais il ne reçoit pas la GlobalProtect configuration réseau correcte : dans le schéma ci-dessus, il agit comme un tunnel complet au lieu d’agir en tunnel fractionné.
Dans le cas où il n’y a que 1 configuration sur la passerelle, sur les firewall logs et sur l’agent GP , le message affiché est « maching client config not found »

Les utilisateurs connectés ne correspondent pas aux paramètres de sécurité policy avec UserID

Le nom d'utilisateur des utilisateurs connectés ne correspondra pas aux stratégies de sécurité.

Environment

Palo Alto (Palo Alto) Firewall
PAN-OS 8,1 et plus.
GlobalProtect Passerelle avec des configurations spécifiques pour les utilisateurs/groupes
SAML Authentification

Cause

L’attribut username from SAML n’est pas au format attendu pour le firewallfichier .
Le format attendu est le format principal défini dans la configuration de mappage de groupe.

Pour afficher le format principal, accédez à Identification de l’appareil>utilisateur>Paramètres de mappage de groupe>Ajouter >Attributs d’utilisateur et de groupe
Le format de nom d’utilisateur principal est défini par la configuration de mappage de groupe.

Le format de nom d’utilisateur principal est défini par la configuration de mappage de groupe.

Remarque : La SAML valeur du nom d’utilisateur n’est pas remplacée par l’authentification. Par exemple, si le nom d’utilisateur doit être au format domaine\nom d’utilisateur , il doit être formaté à partir de la SAML source.

Resolution

Personnalisez l’attribut du nom d’utilisateur pour qu’il corresponde au format de nom d’utilisateur principal sur l’IdP SAML .

Additional Information