Fonctionnement SAML de l’authentification avec GlobalProtect SSO

Fonctionnement SAML de l’authentification avec GlobalProtect SSO

53905
Created On 09/13/21 17:50 PM - Last Modified 03/02/23 03:52 AM


Symptom


Cet article est conçu pour expliquer à quoi ressemblerait le flux d’authentification lorsque les deux SAML et GlobalProtect SSO sont activés

Environment


  • GlobalProtect app
  • Clients Windows
  • Clients macOS

Resolution


GlobalProtect Le portail et la passerelle externe ont SAML un profil d’authentification activé SSO . 

Voici quelques cas d’utilisation courants, mais sans s’y limiter:
  1. Lorsque l’utilisateur se connecte à la machine, il essaie d’utiliser les informations d’identification pour l’authentification du portail, mais lorsqu’il détecte l’authentification, GlobalProtect il ignore et efface les informations d’identification SSO SAML SSO.app L’utilisateur se verrait alors présenter une SAML page de connexion pour la toute première connexion ou un cookie de session existant SAML serait utilisé s’il était valide. Ce nouveau cookie de session (à partir de l’authentification du portail) ou existant SAML serait utilisé pour l’authentification de passerelle externe. SAML et GlobalProtect SSO les formats de nom d’utilisateur identiques ou différents ne changeront pas ce comportement
  2. Il existe une passerelle interne ayant un profil d’authentification avec les types LDAPd’authentification /Radius/Kerberos/Authentification locale, etc., autre que l’authentification basée sur un certificat client dont les informations d’identification sont les mêmes que SAML SSO les informations d’identification.Lorsque l’utilisateur est interne au réseau d’entreprise et se connecte à la machine, l’authentification du portail est la même que celle expliquée au point 1 du scénario d’utilisation. Cependant, lors de la connexion à la passerelle interne, les événements suivants se produisent: -
    1. L’utilisateur est invité à entrer à la fois le nom d’utilisateur et le mot de passe lorsque l’option Enregistrer les informations d’identification de l’utilisateur est définie sur Oui lorsqu’il s’agit de la toute première GlobalProtect connexion et ne sera pas invité à effectuer des connexions consécutives
    2. L’utilisateur est invité à entrer son mot de passe uniquement car le nom d’utilisateur est renseigné automatiquement lorsque l’option Enregistrer les informations d’identification de l’utilisateur est définie sur Enregistrer uniquement le nom d’utilisateur
  3. La raison du point 2 du scénario d’utilisation est que SSO les informations d’identification sont effacées lors de l’authentification du portail SAML et, par conséquent, ne peuvent pas être utilisées pour l’authentification de la passerelle interne
  4. GlobalProtect L’option Générer un cookie pour l’authentification est activée et l’option Accepter le cookie pour l’authentification est activée pour la passerelle externe/interne ainsi que la configuration du point 2 du scénario d’utilisation.Lorsque SAML les formats de GlobalProtect SSO nom d’utilisateur sont différents, la passerelle interne finit par utiliser le nom d’utilisateur du portail SAML en raison du remplacement du cookie d’authentification. Cela peut entraîner des problèmes de mappage si les stratégies de sécurité sont configurées pour utiliser SSO le nom d’utilisateur au lieu du nom d’utilisateur SAML . Par conséquent, il est recommandé que SAML les formats de nom d’utilisateur soient les mêmes pour utiliser le remplacement des cookies d’authentification générés par le portail pour les GlobalProtect SSO passerelles externes et internes
Cookie d’authentification du portail

Cookie d’authentification de passerelle


 

Additional Information


La différence entre GlobalProtect SSO et SAML l’authentification est la suivante :
  1. SSO acquiert les informations d’identification de l’utilisateur saisies sur l’écran de connexion de sa machine et passe à l’interface pour l’authentification sans intervention de l’utilisateur GlobalProtect app UI . Ce sont généralement AD des informations d’identification
  2. SAML L’authentification est une authentification basée sur un navigateur qui utilise des fournisseurs d’IdP Cloud tels qu’Okta, Azure, PingID, OneLogin, etc. ou des serveurs IdP internes. GlobalProtect app utilise une interface Web UI , différente de sa propre UI interface
Assurez-vous également que l'option Composants nécessitant des mots de passe dynamiques ne doit pas être sélectionnée pour le portail ou les passerelles, car ce paramètre est utilisé pour /Radius en utilisant OTP et non pour LDAPSAML l'utilisation OTPde .

Configuration de l’agent de portail
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMUmCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language