どうやってSAML認証は GlobalProtect SSO
70486
Created On 09/13/21 17:50 PM - Last Modified 03/02/23 03:52 AM
Symptom
この記事は、両方の場合に認証フローがどのようになるかを説明することを目的としています。SAMLとGlobalProtectSSO有効になっています
Environment
- GlobalProtect app
- Windows クライアント
- macOS クライアント
Resolution
GlobalProtect ポータルと外部ゲートウェイがSAML認証プロファイルとSSO有効にします。
以下にいくつかの一般的な使用例を示しますが、これらに限定されません。
- ユーザーがマシンにログインすると、GlobalProtectapp使ってみますSSOポータル認証の資格情報ですが、それが検出されたときSAML認証をスキップしてクリアしますSSO資格。 ユーザーには、SAML最初の接続または既存の接続のログイン ページSAML有効な場合、セッション Cookie が使用されます。 この新規 (ポータル認証による) または既存のSAMLセッション Cookie は、外部ゲートウェイ認証に使用されます。 SAML とGlobalProtectSSOユーザー名の形式が同じであっても異なっていても、この動作は変わりません
- 認証タイプの認証プロファイルを持つ内部ゲートウェイがありますLDAP/Radius/Kerberos/ローカル認証など、以外SAMLまたは資格情報が同じクライアント証明書ベースの認証SSO資格。ユーザーが企業ネットワークの内部にいてマシンにログインする場合、ポータル認証はユース ケース シナリオ ポイント 1 で説明したものと同じになります。 ただし、内部ゲートウェイにログインすると、次のことが起こります:-
- ユーザーは、ユーザー名とパスワードの両方を入力するように求められます。ユーザー資格証明の保存に設定されていますはい一番最初のときGlobalProtect接続し、連続接続のプロンプトは表示されません
- ユーザー名は自動入力されるため、ユーザーは自分のパスワードのみを入力するよう求められます。ユーザー資格証明の保存に設定されていますユーザー名のみを保存
- ユースケース シナリオ ポイント 2 の理由は、SSO資格情報がポータル中にクリアされるSAMLしたがって、内部ゲートウェイ認証には使用できません。
- GlobalProtect ポータルには認証オーバーライド用の Cookie を生成するオプションがチェックされ、外部/内部ゲートウェイが認証オーバーライドのために Cookie を受け入れるオプションは、ユース ケース シナリオ ポイント 2 の構成と共にチェックされます。いつSAMLとGlobalProtectSSOユーザー名の形式が異なるため、内部ゲートウェイはポータルを使用することになりますSAML認証 Cookie オーバーライドによるユーザー名。 これにより、セキュリティ ポリシーが使用するように構成されている場合、マッピングの問題が発生する可能性があります。SSOユーザー名の代わりにSAMLユーザー名。 したがって、次のことをお勧めします。SAMLとGlobalProtectSSO外部ゲートウェイと内部ゲートウェイでポータル生成の認証 Cookie オーバーライドを使用するには、ユーザー名の形式を同じにする必要があります。
Additional Information
の違いGlobalProtectSSOとSAML認証は次のとおりです。
- SSO 機能は、マシンのサインイン画面に入力されたユーザーの資格情報を取得し、GlobalProtectappUIユーザーの介入なしで認証を行うためのインターフェイス。 彼らは通常AD資格
- SAML 認証は、Okta、Azure、PingID、OneLogin などのクラウド IdP ベンダーまたは社内 IdP サーバーのいずれかを使用するブラウザベースの認証です。 GlobalProtect app ウェブを使用するUI独自のものとは異なるインターフェイスUIインターフェース