GlobalProtect 認証が失敗し、「ユーザーは許可リストにありません」というメッセージが表示される
7463
Created On 08/16/23 08:26 AM - Last Modified 01/07/25 11:55 AM
Symptom
- SAML 認証後、iOS デバイスの GPアプリケーションは接続状態のままになります。
- これは、すべての iOS デバイスで GPアプリケーションを切断または再起動した後に発生します。
- ドメインが指定されている場合、認証は成功します。たとえば、「domain\user1」は成功しますが、ドメインのないユーザー名「user1」は失敗します。
Environment
- パロアルトファイアウォール
- PAN-OS 10.2.x
- GlobalProtect (GP) アプリ
- SAML認証
- iOSデバイス
Cause
- SAML認証プロファイルでは、ユーザーはユーザー名だけでなく「user1」のように「domain\user1」として指定されます。
- このユーザー名はGlobalProtect ポータルの Cookie から抽出され、認証に使用するために GlobalProtect アプリに送信されます。
- GlobalProtect ポータルは、ドメインなしのユーザー名をGlobalProtect アプリに提供します。
- ユーザー名「user1」が「domain\user1」の代わりに提供されます。
- GPアプリケーションはCookie 認証にこれを使用しますが、ユーザーがSAML認証プロファイルの許可リストにリストされていないため失敗します。
Resolution
- この問題は、PAN-OS 10.2.8、11.0.4 以降のリリースのPAN-226768で修正されています。
- 上記のバージョンにアップグレードすると問題は解決します。
- IDP サーバーのユーザー名属性を UPN または電子メール形式で設定します。
- 回避策のステップ 1 の後、各エージェント構成のGlobalProtect Gateway の「認証オーバーライド」設定で、Cookie の暗号化/復号化に異なる証明書を使用します。
- 上記の手順により、古い Cookie が無効になり、新しい SAML 認証によって、許可リストのチェックに合格するための適切なユーザー名を持つ新しい Cookie が生成されます。