如何SAML身份验证适用于 GlobalProtect SSO
53871
Created On 09/13/21 17:50 PM - Last Modified 03/02/23 03:52 AM
Symptom
本文旨在讨论身份验证流程在两种情况下的外观SAML和GlobalProtectSSO已启用
Environment
- GlobalProtect app
- Windows 客户端
- macOS 客户端
Resolution
GlobalProtect 门户和外部网关有SAML身份验证配置文件和SSO启用。
以下是一些常见的用例,但不限于:
- 当用户登录机器时,GlobalProtectapp会尝试使用SSO用于门户身份验证的凭据,但当它检测到SAML身份验证,它会跳过并清除SSO证书。 然后将向用户呈现一个SAML首次连接或现有连接的登录页面SAML如果有效,将使用会话 cookie。 这个新的(来自门户认证)或现有的SAML会话 cookie 将用于外部网关身份验证。 SAML 和GlobalProtectSSO用户名格式相同或不同都不会改变此行为
- 有一个内部网关具有带有身份验证类型的身份验证配置文件LDAP/Radius/Kerberos/本地认证等,除SAML或基于客户端证书的身份验证,其凭据与SSO证书。当用户在公司网络内部并登录到机器时,门户身份验证将与用例场景点 1 中解释的相同。 但是,当登录到内部网关时,会发生以下情况:-
- 用户将被提示输入用户名和密码时保存用户凭证被设定为是的当它是第一个GlobalProtect连接,不会提示连续连接
- 用户将被提示输入他/她的密码,因为用户名是自动填充的保存用户凭证被设定为仅保存用户名
- 用例场景点 2 的原因是SSO凭据在门户期间被清除SAML身份验证,因此不能用于内部网关身份验证
- GlobalProtect 门户网站有为身份验证覆盖生成 cookie选项已选中并且外部/内部网关具有接受用于身份验证覆盖的 cookie选项与用例场景点 2 配置一起检查。什么时候SAML和GlobalProtectSSO用户名格式不同,内部网关最终会使用门户SAML由于身份验证 cookie 覆盖而导致的用户名。 如果安全策略配置为使用SSO用户名而不是SAML用户名。 因此,建议SAML和GlobalProtectSSO用户名格式应该相同,以便为外部和内部网关使用门户生成的身份验证 cookie 覆盖
Additional Information
和...之间的不同GlobalProtectSSO和SAML鉴权如下:
- SSO 功能获取用户在其机器登录屏幕上输入的凭据并传递到GlobalProtectappUI无需用户干预的身份验证接口。 他们通常是AD证书
- SAML 身份验证是一种基于浏览器的身份验证,它使用 Okta、Azure、PingID、OneLogin 等 Cloud IdP 供应商或内部 IdP 服务器。 GlobalProtect app 使用网络UI界面,和自己的不一样UI界面