のユーザー ID が一致しませんGlobalProtectユーザーの認証 SAML

29705

Created On 02/16/21 02:51 AM - Last Modified 10/31/24 14:27 PM

Symptom

ユーザーが適切なゲートウェイ構成を取得できない

クライアントはに接続しようとしていますGlobalProtectゲートウェイですが、正しいネットワーク構成を受信しません。上の図では、スプリットトンネルではなくフルトンネルとして機能しています。
ゲートウェイに構成が 1 つしかない場合は、firewallログとGPエージェント、表示されるメッセージは「macing client config not found」です

接続しているユーザーがセキュリティに一致しませんpolicyUserID パラメータ付き

接続しているユーザーのユーザー名がセキュリティポリシーと一致しません。

Environment

パロアルト Firewall
PAN-OS 8.1 以上。
GlobalProtect ユーザー/グループに固有の構成を持つゲートウェイ
SAML 認証

Cause

からのユーザー名属性SAMLの期待される形式ではありませんfirewall.
予想される形式は、グループマッピング構成で設定されたプライマリ形式です。

プライマリフォーマットを確認するには、次の URL にアクセスしてください。 [デバイス] > [ユーザー ID] > [グループマッピング設定] > [追加] > [ユーザーとグループの属性]
プライマリユーザー名の形式は、グループマッピング構成によって定義されます。

注:SAML認証は、ユーザー名の値をオーバーライドしません。たとえば、ユーザー名が必要な場合ドメイン\ユーザー名からフォーマットする必要があります。SAMLソース。

Resolution

カスタマイズSAMLユーザー名属性を IdP のプライマリユーザー名形式と一致させます。

Additional Information