UPN (nom d’utilisateur principal) incorrect récupéré dans CIE (Cloud Identity Engine) à partir d’Azure AD (AAD) même lorsque l’UPN sur AAD est correct.
5312
Created On 10/17/24 03:48 AM - Last Modified 12/27/24 10:30 AM
Symptom
- Palo Alto Cloud Identity Engine (CIE) est intégré à Azure AD (AAD) pour le mappage de groupe.
- Le CIE est synchronisé et affiche les utilisateurs et groupes attendus.
- L’option Collecter les informations sur les risques utilisateur à partir d’Azure AD Identity Protection est activée pour cette intégration.
- Pour 1 ou plusieurs utilisateurs, l'attribut UPN (User Principal Name) est incorrect sur CIE alors qu'il est configuré correctement côté AAD.
- Cela entraîne des problèmes avec la correspondance de la politique, règle, mesures de sécurité pour cet utilisateur spécifique.
- Par exemple, l' utilisateur avec Mail user1.lastname@company.com a un UPN configuré avec la même valeur sur l'AAD mais sur CIE, la valeur est considérée comme une ancienne valeur comme lastnamemiddlenameuser1@company.com
Environment
- Palo Alto Cloud Identify Engine pour le mappage de groupe. (CIE)
Cause
- Il s’agit d’un problème dû à une réponse incohérente du champ UPN du côté Azure.
- Lorsque les informations sur les risques utilisateur collectées sont vérifiées, CIE interroge Azure AD via 2 méthodes différentes et dans l’une d’entre elles (pour les informations sur les risques utilisateur ), la valeur incorrecte pour UPN est renvoyée, c’est pourquoi CIE affiche une valeur incorrecte pour cet attribut.
Resolution
- Vérifiez que la valeur UPN est correcte côté Azure AD si nécessaire.
- Il a été observé que le surnom de messagerie (qui ne devrait idéalement pas avoir d'impact sur l'UPN) a également un impact sur la réponse AAD et qu'il faut modifier le surnom de messagerie pour qu'il soit identique à l'UPN afin que l'AAD puisse renvoyer la valeur correcte.
- Si vous n’utilisez pas de groupes utilisateur dynamiques Cloud , décochez la case Collecter les informations sur les risques des utilisateur à partir d’Azure AD Identity Protection à partir de l’intégration AAD dans le CIE, puis effectuez une synchroniser complète dans le CIE pour refléter la valeur correcte.
- Si le problème n’est toujours pas résolu en décochant la case Collecter les informations sur les risques utilisateur à partir d’Azure AD Identity Protection, contactez le support Palo Alto avec une capture d’écran des informations CIE et les détails des attributs configurés côté AAD.