即使 AAD 上的 UPN 正确,CIE(云身份引擎)从 Azure AD (AAD)获取的 UPN(用户主体名称)也是错误的。
5261
Created On 10/17/24 03:48 AM - Last Modified 12/27/24 10:36 AM
Symptom
- Palo Alto Cloud Identity Engine (CIE) 与 Azure AD (AAD) 集成,用于用户到组映射。
- CIE 已同步并显示预期的用户和组。
- 此集成已启用从 Azure AD身份保护收集用户风险信息选项。
- 对于 1 个或多个用户,CIE 上的 UPN(用户主体名称)属性不正确,但 AAD 端的配置正确。
- 这会导致该特定用户的安全策略匹配出现问题。
- 例如,邮件名为user1.lastname@company.com的用户的UPN 在 AAD 上配置为相同的值,但在 CIE 上,该值被视为旧值lastnamemiddlenameuser1@company.com
Environment
- Palo Alto Cloud 识别引擎,用于用户和组映射。(CIE)
Cause
- 这是由于 Azure 端对 UPN 字段的响应不一致而导致的问题。
- 检查收集的用户风险信息时,CIE 通过两种不同的方法查询 Azure AD ,其中一种方法(用于用户风险信息)返回了错误的 UPN 值,因此 CIE 显示此属性的错误值。
Resolution
- 根据需要验证 Azure AD端的 UPN 值是否正确。
- 据观察,邮件昵称(理想情况下不会影响 UPN)也会影响 AAD响应,将邮件昵称更改为与 UPN 相同,这样 AAD 可能会返回正确的值。
- 如果不使用云动态用户组,请取消选中从 CIE 中的 AAD 集成中的 Azure AD身份保护收集用户风险信息,然后在 CIE 中完全同步以反映正确的值。
- 如果取消选中从 Azure AD身份保护收集用户风险信息后问题仍未得到解决,请联系 Palo Alto 支持并提供 CIE 信息的屏幕截图和在 AAD 端配置的属性详细信息。