L'authentification GlobalProtect échoue avec le message « L'utilisateur n'est pas dans la liste autorisée »

7481

Created On 08/16/23 08:26 AM - Last Modified 01/07/25 11:50 AM

Symptom

Après l'authentification SAML, l' appli GP avec les appareils iOS reste bloquée dans l' état de connexion.
Cela se produit après la déconnexion ou le redémarrage de l' appli GP sur tous les appareils iOS.
L'authentification réussit lorsque le domaine est spécifié. Par exemple, « domain\user1 » réussit, tandis que le nom d'utilisateur sans domaine « user1 » échoue.

Dans le profil d'authentification SAML, l' utilisateur est spécifié comme « domaine\utilisateur1 » au lieu du simple nom d'utilisateur, par exemple « utilisateur1 ».
Ce nom d'utilisateur est extrait du cookie sur le portail GlobalProtect et envoyé à l'application GlobalProtect pour être utilisé pour l'authentification.
Le portail GlobalProtect fournit le nom d'utilisateur sans domaine à l'application GlobalProtect.
Le nom d'utilisateur « user1 » est fourni à la place de « domain\user1 ».
appli GP l'utilise pour l'authentification des cookies et échoue car l' utilisateur n'est pas répertorié dans la liste Autoriser du profil d'authentification SAML.

Le problème est résolu sous PAN-226768 dans PAN-OS 10.2.8, 11.0.4 et versions supérieures.
La mise à niveau vers les versions ci-dessus résoudra le problème.

Solution de contournement :

Configurez l'attribut de nom d'utilisateur dans le serveur IDP au format UPN ou e-mail, messagerie .
Après l'étape 1 de la solution alternative, utilisez un certificat différent pour le chiffrement/déchiffrement des cookies pour le paramètre « Remplacement de l'authentification » de GlobalProtect Gateway dans chaque configuration d'agent.
L'étape ci-dessus invalidera les anciens cookies et forcera une nouvelle authentification SAML à générer un nouveau cookie avec le nom d'utilisateur approprié pour passer la vérification de la liste autorisée.