Azure AD (AAD)의 CIE(Cloud Identity Engine)에서 잘못된 UPN(사용자 계정 이름)을 가져왔습니다. AAD의 UPN이 올바른 경우에도 마찬가지입니다.
5259
Created On 10/17/24 03:48 AM - Last Modified 12/27/24 10:37 AM
Symptom
- Palo Alto Cloud Identity Engine(CIE)은 사용자와 그룹 매핑(group mapping) 위해 Azure AD (AAD)와 통합되었습니다 .
- CIE가 동기화되고 예상되는 사용자와 그룹이 표시됩니다.
- 이 통합에서는 Azure AD Identity Protection 옵션에서 사용자 위험 정보를 수집합니다 .
- 1명 이상의 사용자에 대해 UPN(사용자 주체 이름) 특성이 AAD 측에서는 올바르게 구성되어 있지만 CIE에서는 올바르지 않습니다.
- 이로 인해 해당 특정 사용자 에 대한 보안 정책 일치에 문제가 발생합니다.
- 예를 들어, Mail user1.lastname@company.com을 사용하는 사용자 AAD에서는 UPN이 동일한 값으로 구성되었지만 CIE에서는 해당 값이 lastnamemiddlenameuser1@company.com 과 같은 이전 값으로 표시됩니다.
Environment
- 사용자 및 그룹 매핑(group mapping) 위한 Palo Alto Cloud Identify Engine(CIE)
Cause
- 이는 Azure 측에서 UPN 필드에 대한 대응 일관되지 않아 발생하는 문제입니다.
- 사용자 위험 정보 수집을 선택하면 CIE는 2가지 다른 방법을 통해 Azure AD 쿼리하고 그 중 하나( 사용자 위험 정보)에서 UPN에 대한 잘못된 값이 반환되므로 CIE는 이 특성에 대해 잘못된 값을 표시합니다.
Resolution
- 필요에 따라 Azure AD 측에서 UPN 값이 올바른지 확인합니다.
- UPN에는 이상적으로 영향을 미치지 않을 것으로 예상되는 메일 별명도 AAD 대응 영향을 미치는 것으로 나타났으며, AAD가 올바른 값을 반환할 수 있도록 메일 별명을 UPN과 동일하게 변경하는 것이 좋습니다.
- 클라우드 동적 사용자 그룹을 사용하지 않는 경우 CIE에서 AAD 통합을 통해 Azure AD Identity Protection에서 사용자 위험 정보 수집을 선택 취소한 다음 CIE에서 전체 동기화 수행하여 올바른 값을 반영합니다.
- Azure AD Identity Protection에서 사용자 위험 정보 수집을 선택 취소했는데도 문제가 해결되지 않으면 CIE 정보의 스크린샷과 AAD 측에 구성된 특성 세부 정보와 함께 Palo Alto 지원팀에 문의하세요.