Die GlobalProtect-Authentifizierung schlägt mit der Meldung „Benutzer ist nicht in der Zulassungsliste“ fehl.
7481
Created On 08/16/23 08:26 AM - Last Modified 01/07/25 11:52 AM
Symptom
- Nach der SAML-Authentifizierung bleibt die GP- App bei iOS-Geräten im Status hängen.
- Dies geschieht nach dem Trennen oder Neustarten der GP- App auf allen iOS-Geräten.
- Die Authentifizierung ist erfolgreich, wenn eine Domäne angegeben ist. Beispiel: „Domäne\Benutzer1“ ist erfolgreich, während der Benutzername ohne Domäne „Benutzer1“ fehlschlägt.
Environment
- Palo Alto-Firewalls
- PAN-OS 10.2.x
- GlobalProtect (GP) App
- SAML-Authentifizierung
- iOS-Geräte
Cause
- Im SAML- Authentifizierungsprofil wird der Benutzer als „Domäne\Benutzer1“ statt nur als Benutzername angegeben, z. B. „Benutzer1“.
- Dieser Benutzername wird aus dem Cookie im GlobalProtect-Portal extrahiert und zur Authentifizierung an die GlobalProtect-App gesendet.
- Das GlobalProtect-Portal stellt der GlobalProtect-App den Benutzername ohne Domäne zur Verfügung.
- Der Benutzername „Benutzer1“ wird anstelle von „Domäne\Benutzer1“ angegeben.
- Die GP App verwendet es zur Cookie-Authentifizierung und es schlägt fehl, weil der Benutzer nicht in der zulassen im SAML Authentifizierungsprofil aufgeführt ist.
Resolution
- Das Problem wurde unter PAN-226768 in PAN-OS 10.2.8, 11.0.4 und höheren Versionen behoben.
- Ein Upgrade auf die oben genannten Versionen behebt das Problem.
- Konfigurieren Sie das Benutzername im IDP-Server im UPN- oder E-Mail Format.
- Verwenden Sie nach Schritt 1 der Workaround in jeder Agentenkonfiguration ein anderes Zertifikat zum Verschlüsseln/Entschlüsseln von Cookies für die GlobalProtect Gateway -Einstellung „Authentifizierungsüberschreibung“.
- Der obige Schritt macht alte Cookies ungültig und erzwingt eine neue SAML-Authentifizierung, um ein neues Cookie mit dem richtigen Benutzername zu generieren, damit es die Zulassungslistenprüfung besteht.