Se obtuvo un UPN (nombre principal de usuario) incorrecto en CIE (Cloud Identity Engine) desde Azure AD (AAD) incluso cuando el UPN en AAD es correcto.
5314
Created On 10/17/24 03:48 AM - Last Modified 12/27/24 10:34 AM
Symptom
- Palo Alto Cloud Identity Engine (CIE) está integrado con Azure AD (AAD) para la asignación de grupos.
- El CIE está sincronizado y muestra los usuarios y grupos esperados.
- La opción Recopilar información de riesgo del usuario desde Azure AD Identity Protection está habilitada para esta integración.
- Para 1 o más usuarios, el atributo UPN (nombre principal de usuario) es incorrecto en CIE mientras que está configurado correctamente en el lado AAD.
- Esto provoca problemas con la coincidencia de la política de seguridad para ese usuario específico.
- Por ejemplo, el usuario con Mail user1.lastname@company.com tiene UPN configurado con el mismo valor en el AAD pero en CIE, el valor se ve como un valor antiguo como lastnamemiddlenameuser1@company.com
Environment
- Palo Alto Cloud Identify Engine para asignación de grupos(CIE)
Cause
- Este es un problema debido a la respuesta inconsistente del campo UPN desde el lado de Azure.
- Cuando se verifica la recopilación de información de riesgo del usuario , CIE consulta Azure AD a través de 2 métodos diferentes y en uno de ellos (para información de riesgo del usuario ), se devuelve el valor incorrecto para UPN, por lo tanto, CIE muestra un valor incorrecto para este atributo.
Resolution
- Valide que el valor UPN sea correcto en el lado de Azure AD según sea necesario.
- Se ha observado que el apodo de correo (que idealmente no se espera que afecte al UPN) también afecta la respuesta de AAD y es necesario cambiar el apodo de correo para que sea el mismo que el UPN para que AAD pueda devolver el valor correcto.
- Si no usa grupos de usuario dinámicos en la nube , desmarque la opción Recopilar información de riesgo del usuario de Azure AD Identity Protection desde la integración de AAD en CIE seguido de una sincronizar completa en CIE para reflejar el valor correcto.
- Si el problema aún no se soluciona desmarcando la opción Recopilar información de riesgo del usuario de Azure AD Identity Protection, comuníquese con el soporte técnico de Palo Alto con una captura de pantalla de la información de CIE y los detalles de los atributos configurados en el lado de AAD.