GlobalProtect 인증이 "사용자가 허용 목록에 없습니다"라는 메시지와 함께 실패합니다.
7475
Created On 08/16/23 08:26 AM - Last Modified 01/07/25 11:57 AM
Symptom
- SAML 인증 후, iOS 기기의 GP 앱 연결 상태 에 멈춥니다.
- 모든 iOS 기기에서 GP 앱 분리하거나 다시 시작한 후에 이런 현상이 나타납니다.
- 도메인이 지정되면 인증이 성공합니다. 예를 들어 'domain\user1'은 성공하지만 도메인이 없는 사용자명 'user1'은 실패합니다.
Environment
- 팔로 알토 방화벽
- PAN-OS 10.2.x
- GlobalProtect (GP) 앱
- SAML 인증
- iOS 기기
Cause
- SAML 인증 프로파일 에서 사용자 사용자명 대신 'domain\user1'으로 지정됩니다(예: "user1").
- 이 사용자명 GlobalProtect Portal의 쿠키에서 추출되어 GlobalProtect 앱으로 전송되어 인증에 사용됩니다.
- GlobalProtect Portal은 GlobalProtect 앱에 도메인 없이 사용자명 제공합니다.
- 사용자명 'domain\user1' 대신 'user1'로 지정되었습니다.
- GP 앱 쿠키 인증에 이를 사용하는데, 사용자 SAML 인증 프로파일 의 허용 목록에 없기 때문에 실패합니다.
Resolution
- 이 문제는 PAN-OS 10.2.8, 11.0.4 및 상위 릴리스의 PAN-226768 에서 해결되었습니다.
- 위의 버전으로 업그레이드하면 문제가 해결됩니다.
- IDP 서버에서 사용자명 속성을 UPN 또는 이메일 형식으로 구성합니다.
- 회피 방법 1단계 후, 각 에이전트 구성에서 GlobalProtect Gateway "인증 재정의" 설정의 쿠키 암호화/복호화 에 다른 인증 사용합니다.
- 위 단계에서는 기존 쿠키가 무효화되고 새 SAML 인증이 허용 목록 검사를 통과하는 적절한 사용자명 으로 새 쿠키를 생성하도록 강제합니다.