Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
どうやってSAML認証は GlobalProtect SSO - Knowledge Base - Palo Alto Networks

どうやってSAML認証は GlobalProtect SSO

70486
Created On 09/13/21 17:50 PM - Last Modified 03/02/23 03:52 AM


Symptom


この記事は、両方の場合に認証フローがどのようになるかを説明することを目的としています。SAMLとGlobalProtectSSO有効になっています

Environment


  • GlobalProtect app
  • Windows クライアント
  • macOS クライアント


Resolution


GlobalProtect ポータルと外部ゲートウェイがSAML認証プロファイルとSSO有効にします。

以下にいくつかの一般的な使用例を示しますが、これらに限定されません。
  1. ユーザーがマシンにログインすると、GlobalProtectapp使ってみますSSOポータル認証の資格情報ですが、それが検出されたときSAML認証をスキップしてクリアしますSSO資格。 ユーザーには、SAML最初の接続または既存の接続のログイン ページSAML有効な場合、セッション Cookie が使用されます。 この新規 (ポータル認証による) または既存のSAMLセッション Cookie は、外部ゲートウェイ認証に使用されます。 SAML とGlobalProtectSSOユーザー名の形式が同じであっても異なっていても、この動作は変わりません
  2. 認証タイプの認証プロファイルを持つ内部ゲートウェイがありますLDAP/Radius/Kerberos/ローカル認証など、以外SAMLまたは資格情報が同じクライアント証明書ベースの認証SSO資格。ユーザーが企業ネットワークの内部にいてマシンにログインする場合、ポータル認証はユース ケース シナリオ ポイント 1 で説明したものと同じになります。 ただし、内部ゲートウェイにログインすると、次のことが起こります:-
    1. ユーザーは、ユーザー名とパスワードの両方を入力するように求められます。ユーザー資格証明の保存に設定されていますはい一番最初のときGlobalProtect接続し、連続接続のプロンプトは表示されません
    2. ユーザー名は自動入力されるため、ユーザーは自分のパスワードのみを入力するよう求められます。ユーザー資格証明の保存に設定されていますユーザー名のみを保存
  3. ユースケース シナリオ ポイント 2 の理由は、SSO資格情報がポータル中にクリアされるSAMLしたがって、内部ゲートウェイ認証には使用できません。
  4. GlobalProtect ポータルには認証オーバーライド用の Cookie を生成するオプションがチェックされ、外部/内部ゲートウェイが認証オーバーライドのために Cookie を受け入れるオプションは、ユース ケース シナリオ ポイント 2 の構成と共にチェックされます。いつSAMLとGlobalProtectSSOユーザー名の形式が異なるため、内部ゲートウェイはポータルを使用することになりますSAML認証 Cookie オーバーライドによるユーザー名。 これにより、セキュリティ ポリシーが使用するように構成されている場合、マッピングの問題が発生する可能性があります。SSOユーザー名の代わりにSAMLユーザー名。 したがって、次のことをお勧めします。SAMLとGlobalProtectSSO外部ゲートウェイと内部ゲートウェイでポータル生成の認証 Cookie オーバーライドを使用するには、ユーザー名の形式を同じにする必要があります。
ポータル認証 Cookie

ゲートウェイ認証 Cookie


 


Additional Information


の違いGlobalProtectSSOとSAML認証は次のとおりです。
  1. SSO 機能は、マシンのサインイン画面に入力されたユーザーの資格情報を取得し、GlobalProtectappUIユーザーの介入なしで認証を行うためのインターフェイス。 彼らは通常AD資格
  2. SAML 認証は、Okta、Azure、PingID、OneLogin などのクラウド IdP ベンダーまたは社内 IdP サーバーのいずれかを使用するブラウザベースの認証です。 GlobalProtect app ウェブを使用するUI独自のものとは異なるインターフェイスUIインターフェース
また、ご確認ください動的パスワードを必要とするコンポーネントこの設定はポータルまたはゲートウェイに対して使用されるため、オプションは選択しないでください。LDAP /使用する半径OTPではなくSAML使用してOTP.

ポータル エージェントの構成


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMUmCAM&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language