La autenticación de GlobalProtect falla con el mensaje "El usuario no está en la lista de permitidos"

7481

Created On 08/16/23 08:26 AM - Last Modified 01/07/25 11:53 AM

Symptom

Después de la autenticación SAML, la aplicación GP con dispositivos iOS queda bloqueada en el estado de conexión.
Esto ocurre después de desconectar o reiniciar la aplicación GP en todos los dispositivos iOS.
La autenticación se realiza correctamente cuando se especifica el dominio. Por ejemplo, "dominio\usuario1" se realiza correctamente, mientras que el nombre de usuario sin dominio "usuario1" falla.

En el perfil de autenticación SAML, el usuario se especifica como 'dominio\usuario1' en lugar de solo el nombre de usuario, por ejemplo, "usuario1".
Este nombre de usuario se extrae de la cookie en el Portal GlobalProtect y se envía a la aplicación GlobalProtect para su uso para la autenticación.
El portal GlobalProtect proporciona el nombre de usuario sin dominio a la aplicación GlobalProtect.
Se proporciona el nombre de usuario 'usuario1' en lugar de 'dominio\usuario1'.
La aplicación GP lo utiliza para la autenticación de cookies y falla porque el usuario no está incluido en la Lista de Permitir en el perfil de autenticación SAML.

El problema se solucionó en PAN-226768 en PAN-OS 10.2.8, 11.0.4 y versiones superiores.
Actualizar a las versiones anteriores resolverá el problema.

Solución alternativa:

Configure el atributo de nombre de usuario en el servidor IDP en formato UPN o correo electrónico .
Después del paso 1 de la solución alternativa, use un certificado diferente para cifrar/descifrar cookies para la configuración de "Anulación de autenticación" de GlobalProtect Gateway en cada configuración de agente.
El paso anterior invalidará las cookies antiguas y forzará una nueva autenticación SAML a generar una nueva cookie con el nombre de usuario adecuado para pasar la verificación de la lista de permitidos.