Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Cómo SAML funciona la autenticación con GlobalProtect SSO - Knowledge Base - Palo Alto Networks

Cómo SAML funciona la autenticación con GlobalProtect SSO

70484
Created On 09/13/21 17:50 PM - Last Modified 03/02/23 03:53 AM


Symptom


Este artículo está diseñado para describir cómo se vería el flujo de autenticación cuando ambos SAML y GlobalProtect SSO están habilitados

Environment


  • GlobalProtect app
  • Clientes Windows
  • Clientes de macOS


Resolution


GlobalProtect El portal y la puerta de enlace externa tienen SAML un perfil de autenticación y SSO están habilitados. 

Los siguientes son algunos casos de uso comunes, pero no se limitan a:
  1. Cuando el usuario inicia sesión en el equipo, intentaría usar SSO credenciales para la autenticación del SAML portal, pero cuando detecte autenticación, GlobalProtect app omitirá y borrará las SSO credenciales. Al usuario se le presentaría una página de inicio de sesión para la primera conexión o se usaría una SAML cookie de sesión existente SAML si es válida. Esta cookie de sesión nueva (de autenticación del portal) o existente SAML se usaría para la autenticación de puerta de enlace externa. SAML y GlobalProtect SSO los formatos de nombre de usuario iguales o diferentes no cambiarán este comportamiento
  2. Hay una puerta de enlace interna que tiene un perfil de autenticación con tipos LDAPde autenticación /Radius/Kerberos/Autenticación local, etc., que no sea o autenticación basada en certificados de cliente cuyas credenciales son las mismas que SAML SSO las credenciales.Cuando el usuario es interno a la red corporativa e inicia sesión en el equipo, la autenticación del portal sería la misma que se explica en el punto 1 del escenario de caso de uso. Sin embargo, al iniciar sesión en la puerta de enlace interna, sucedería lo siguiente:
    1. Se le pedirá al usuario que escriba tanto el nombre de usuario como la contraseña cuando Guardar credenciales de usuario esté establecido en cuando sea la primera GlobalProtect conexión y no se le solicitarán conexiones consecutivas
    2. Se le pedirá al usuario que introduzca su contraseña solo ya que el nombre de usuario se rellena automáticamente cuando Guardar credenciales de usuario está establecido en Guardar solo nombre de usuario
  3. La razón del punto 2 del escenario de caso de uso es que SSO las credenciales se borran durante la autenticación del portal SAML y, por lo tanto, no se pueden usar para la autenticación de la puerta de enlace interna
  4. GlobalProtect El portal tiene activada la opción Generar cookie para la anulación de autenticación y la puerta de enlace externa/interna ha marcado la opción Aceptar cookie para la anulación de autenticación junto con la configuración del punto 2 del escenario de caso de uso.Cuando SAML los formatos de nombre de usuario son diferentes, la puerta de enlace interna terminaría utilizando el nombre de usuario del portal SAML debido a la anulación de GlobalProtect SSO la cookie de autenticación. Esto puede causar problemas de asignación si las directivas de seguridad están configuradas para usar SSO nombre de usuario en lugar de nombre de SAML usuario. Por lo tanto, se recomienda que SAML los formatos de nombre de usuario sean los mismos para usar la anulación de cookies de GlobalProtect SSO autenticación generada por el portal para puertas de enlace externas e internas
Cookie de autenticación del portal

Cookie de autenticación de puerta de enlace


 


Additional Information


La diferencia entre GlobalProtect SSO y SAML la autenticación es la siguiente:
  1. SSO La característica adquiere las credenciales del usuario introducidas en la pantalla de inicio de sesión del equipo y pasa a la interfaz para la autenticación sin intervención del GlobalProtect app UI usuario. Por lo general, AD son credenciales
  2. SAML La autenticación es una autenticación basada en navegador que utiliza proveedores de IdP en la nube como Okta, Azure, PingID, OneLogin, etc. o servidores IdP internos. GlobalProtect app utiliza una interfaz Web UI , diferente de su propia UI interfaz
Además, asegúrese de que la opción Componentes que requieren contraseñas dinámicas no debe seleccionarse para el portal o las puertas de enlace, ya que esta configuración se usa para /Radius y OTP no para LDAPSAML usar OTP.

Configuración del agente del portal


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMUmCAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language