Falscher UPN (User Principal Name) in CIE (Cloud Identity Engine) von Azure AD (AAD) abgerufen, auch wenn der UPN auf AAD korrekt ist.

Falscher UPN (User Principal Name) in CIE (Cloud Identity Engine) von Azure AD (AAD) abgerufen, auch wenn der UPN auf AAD korrekt ist.

5308
Created On 10/17/24 03:48 AM - Last Modified 12/27/24 10:32 AM


Symptom


  • Palo Alto Cloud Identity Engine (CIE) ist für die Benutzer- Gruppenzuordnung in Azure AD (AAD) integriert .
  • Das CIE wird synchronisiert und zeigt die erwarteten Benutzer und Gruppen an.
  • Für diese Integration ist die Option „ Benutzer aus Azure AD Identity Protection sammeln“ aktiviert.
  • Für einen oder mehrere Benutzer ist das UPN-Attribut (User Principal Name) auf CIE falsch, während es auf der AAD-Seite richtig konfiguriert ist.
  • Dies führt zu Problemen mit der Übereinstimmung der Richtlinie für diesen bestimmten Benutzer.
  • Beispiel: Für den Benutzer mit der E-Mail-Adresse „user1.lastname@company.com“ ist der UPN im AAD mit demselben Wert konfiguriert, im CIE wird der Wert jedoch als alter Wert „lastnamemiddlenameuser1@company.com“ angezeigt.

Environment


  • Palo Alto Cloud Identify Engine für Benutzer- und Gruppenzuordnung. (CIE)

Cause


  • Dies ist ein Problem aufgrund einer inkonsistenten Antwort des UPN-Felds von der Azure-Seite.
  • Wenn die gesammelten Benutzer überprüft werden, fragt CIE das Azure AD über zwei verschiedene Methoden ab und bei einer davon (für Benutzer ) wird der falsche Wert für UPN zurückgegeben, weshalb CIE einen falschen Wert für dieses Attribut anzeigt.

Resolution


  1. Überprüfen Sie bei Bedarf, ob der UPN-Wert auf der Azure AD Seite korrekt ist.
  2. Es wurde beobachtet, dass der Mail-Nickname (von dem im Idealfall kein Einfluss auf UPN erwartet wird) auch die AAD Antwort beeinflusst. Daher wurde der Mail-Nickname so geändert, dass er mit UPN identisch ist, damit AAD möglicherweise den richtigen Wert zurückgibt.
  3. Wenn Sie keine dynamischen Cloud- Benutzer verwenden, deaktivieren Sie die Option „ Benutzer aus Azure AD Identity Protection aus der AAD-Integration in der CIE sammeln“, und führen Sie anschließend eine vollständige synchronisieren in der CIE durch, um den richtigen Wert wiederzugeben.
  4. Wenn das Problem durch Deaktivieren der Option „ Benutzer von Azure AD Identity Protection sammeln“ immer noch nicht behoben ist, wenden Sie sich mit einem Screenshot der CIE-Informationen und der auf der AAD-Seite konfigurierten Attributdetails an den Palo Alto-Support.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PQigCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language