用户 ID 不匹配GlobalProtect用户通过身份验证 SAML
29549
Created On 02/16/21 02:51 AM - Last Modified 10/31/24 14:27 PM
Symptom
用户无法获得正确的网关配置
客户端正在尝试连接到GlobalProtect网关,但未收到正确的网络配置:在上图中,它充当完整隧道而不是拆分隧道。
如果网关上只有 1 个配置,则在firewall日志和GP代理,看到的消息是“找不到加工客户端配置”
连接的用户与安全不匹配policy带有 UserID 参数
Environment
- 帕洛阿尔托 Firewall
- PAN-OS 8.1及以上。
- GlobalProtect 具有针对用户/组的特定配置的网关
- SAML 验证
Cause
用户名属性来自SAML不是预期的格式firewall.
预期格式是组映射配置中设置的主要格式。
要查看主要格式,请转到设备>用户识别>组映射设置>添加>用户和组属性
注意:SAML身份验证不会覆盖用户名值。 例如,如果用户名需要在域\用户名格式,它需要从SAML来源。
Resolution
自定义SAMLusername 属性以匹配 IdP 上的主要用户名格式。
Additional Information
PAN-OS 管理员指南
支持多种用户名格式