Funktionsweise SAML der Authentifizierung mit GlobalProtect SSO
70484
Created On 09/13/21 17:50 PM - Last Modified 03/02/23 03:52 AM
Symptom
In diesem Artikel wird erläutert, wie der Authentifizierungsablauf aussehen würde, wenn beide SAML und GlobalProtect SSO aktiviert sind.
Environment
- GlobalProtect app
- Windows-Clients
- macOS-Clients
Resolution
GlobalProtect Portal und externes Gateway verfügen über SAML ein Authentifizierungsprofil und SSO sind aktiviert.
Im Folgenden sind einige häufige Anwendungsfälle aufgeführt, die jedoch nicht darauf beschränkt sind:
- Wenn sich der Benutzer am Computer anmeldet, würde er versuchen, Anmeldeinformationen für die Portalauthentifizierung zu verwendenSSO, aber wenn die Authentifizierung SAML erkannt wird, GlobalProtect app werden die SSO Anmeldeinformationen übersprungen und gelöscht. Dem Benutzer wird dann eine SAML Anmeldeseite für die allererste Verbindung angezeigt oder ein vorhandenes SAML Sitzungscookie wird verwendet, falls gültig. Dieses neue (aus der Portalauthentifizierung) oder vorhandene SAML Sitzungscookie wird für die externe Gateway-Authentifizierung verwendet. SAML Gleiche GlobalProtect SSO oder unterschiedliche Benutzernamenformate ändern dieses Verhalten nicht.
- Es gibt ein internes Gateway mit einem Authentifizierungsprofil mit den Authentifizierungstypen LDAP/Radius/Kerberos/Lokale Authentifizierung usw., bei der es sich nicht SAML um eine clientzertifikatbasierte Authentifizierung handelt, deren Anmeldeinformationen mit SSO den Anmeldeinformationen identisch sind.Wenn sich der Benutzer intern im Unternehmensnetzwerk befindet und sich am Computer anmeldet, entspricht die Portalauthentifizierung der in Punkt 1 des Anwendungsszenarios erläuterten Authentifizierung. Wenn Sie sich jedoch beim internen Gateway anmelden, geschieht Folgendes:
- Der Benutzer wird aufgefordert, sowohl den Benutzernamen als auch das Kennwort einzugeben, wenn Benutzeranmeldeinformationen speichern auf Ja gesetzt ist, wenn es sich um die allererste GlobalProtect Verbindung handelt, und wird nicht zu aufeinanderfolgenden Verbindungen aufgefordert
- Der Benutzer wird nur aufgefordert, sein Kennwort einzugeben, da der Benutzername automatisch ausgefüllt wird, wenn Benutzeranmeldeinformationen speichern auf Nur Benutzername speichern festgelegt ist
- Der Grund für den Anwendungsfallszenario Punkt 2 ist, dass SSO Anmeldeinformationen während der Portalauthentifizierung SAML gelöscht werden und daher nicht für die interne Gatewayauthentifizierung verwendet werden können.
- GlobalProtect Im Portal ist die Option Cookie für Authentifizierungsüberschreibung generieren aktiviert, und das externe/interne Gateway hat die Option Cookie für Authentifizierungsüberschreibung akzeptieren zusammen mit der Konfiguration von Punkt 2 für das Anwendungsszenario aktiviert. GlobalProtect SSO Wenn SAML und Benutzernamenformate unterschiedlich sind, verwendet das interne Gateway aufgrund der Überschreibung von Authentifizierungscookies den Benutzernamen des PortalsSAML. Dies kann zu Zuordnungsproblemen führen, wenn Sicherheitsrichtlinien so konfiguriert sind, dass Benutzername anstelle von SAML Benutzername verwendet wirdSSO. Daher wird empfohlen, dass SAML GlobalProtect SSO die Benutzernamenformate identisch sein sollten, um die vom Portal generierte Authentifizierungscookie-Überschreibung für externe und interne Gateways zu verwenden.
Additional Information
Der Unterschied zwischen GlobalProtect SSO und SAML Authentifizierung ist wie folgt:
- SSO -Funktion erfasst die Anmeldeinformationen des Benutzers, die auf dem Anmeldebildschirm des Computers eingegeben werden, und wird zur Authentifizierung ohne Benutzereingriff an die GlobalProtect app UI Schnittstelle übergeben. Sie sind in der Regel AD Anmeldeinformationen
- SAML Die Authentifizierung ist eine browserbasierte Authentifizierung, die entweder Cloud-IdP-Anbieter wie Okta, Azure, PingID, OneLogin usw. verwendet. oder interne IdP-Server. GlobalProtect app verwendet eine Weboberfläche UI , die sich von ihrer eigenen UI Oberfläche unterscheidet