Verwenden Sie SAML das Benutzergruppenattribut in der Zulassungsliste, um einen GP Portalbenutzer zu authentifizieren

Was ist das Benutzergruppenattribut vom SAML-Typ Authentifizierungsprofil und wie kann es in der Konfiguration verwendet werden?

A SAML- Typ Authentifizierungsprofil ermöglicht das Extrahieren eines Gruppenattributs aus einer SAML Antwort über ein Feld Benutzergruppenattribut. Nach dem Extrahieren wird der angegebene Gruppenattributwert anhand der Werte in der Zulassungsliste dieses Profils ausgewertet. Der Benutzer ist nur zulässig, wenn der Wert des Gruppenattributs mit dem konfigurierten Wert in der Zulassungsliste übereinstimmt.

NOTE: Der Wert User Group Attribute kann nur verwendet werden, um die Zulassungsliste des SAML-Authentifizierungstyps auszuwerten. Der Wert für das Benutzergruppenattribut kann an keiner anderen Stelle in der firewall Konfiguration verwendet werden, einschließlich aller Arten von Richtlinien, Portal-Agent- und Clientless-KonfigurationenVPN, GlobalProtect Gateway-Agent-Konfigurationen oder -Berichten usw.

PAN-OS Konfigurationshilfe (Referenz):

Benutzergruppenattribut (SAML nur): Geben Sie das Attribut ein, das SAML die Benutzergruppe eines authentifizierenden Benutzers in Nachrichten des IdP identifiziert (Standard ist Benutzergruppe). Wenn das IdP-Serverprofil Metadaten enthält, die ein Benutzergruppenattribut angeben, verwendet das Feld dieses Attribut automatisch. Der verwendet firewall die Gruppeninformationen, um authentifizierende Benutzer mit Zulassungslisteneinträgen abzugleichen, nicht für Richtlinien oder Berichte.

Als Beispiel in diesem Artikel konfigurieren wir ein SAML-Typauthentifizierungsprofil, um einen GP Portal Clientless-Benutzer VPN basierend auf dem Benutzergruppenattribut zu authentifizieren

Konfiguration & Erklärung

1. Wir gehen davon aus, dass es bereits mit einer Benutzeridentifikation > Gruppenzuordnungseinstellungen konfiguriert ist, PANW firewall in denen Benutzer-zu-Gruppen-Zuordnungen zusammen mit Benutzerattributen und Gruppenattributen von einem AD über LDAPabgerufen werden.




Als Beispiel in diesem Artikel gibt es einen user10 in der Domäne pantac-222-70, der zu den folgenden Gruppen gehört und die folgenden Benutzerattribute hat:

> show user user-ids match-user  "pantac-222-70\user10"

User Name                         Vsys    	Groups
------------------------------------------------------------------
pantac-222-70\user10              vsys1     cn=users,cn=builtin,dc=pantac-222-70,dc=local
                                            cn=remote desktop users,cn=builtin,dc=pantac-222-70,dc=local
                                            cn=non-admin users,cn=users,dc=pantac-222-70,dc=local
                                            cn=vpn-users,dc=pantac-222-70,dc=local
                                            cn=domain users,cn=users,dc=pantac-222-70,dc=local
											
> show user user-attributes user "pantac-222-70\user10"

Primary: pantac-222-70\user10   Email: user10@pantac-222-70.local
Alt User Names:
1) pantac-222-70\user10
2) user10@pantac-222-70.local

• Der Benutzer pantac-222-70\user10 ist Teil von 5 Gruppen AD und identifiziert den Benutzer mit zwei Benutzerattributen: (1) sAMAccountName (pantac-222-70\user10) und firewall (2) Email & userPrincipleName (user10@pantac-222-70.local)
• Wenn der Benutzer als pantac-222-70\user10 oder user10@pantac-222-70.local authentifiziert wird, kann er firewall ihn identifizieren und die 5 Gruppen finden, denen er zugeordnet ist

 
2. Nehmen wir nun an, dass derselbe user10 auch im SAML Identitätsanbieter (IdP) AD über synchronisiert wird, sodass er dieselben AD Gruppen und Attribute hat. Darüber hinaus ist der Benutzer10 auch Teil einer SAML-bestimmten Gruppe GP-Benutzer (d. h GP-. die Benutzergruppe ist NOT in AD)

3 bekannt. Wir gehen davon aus, dass SAML IdP ordnungsgemäß konfiguriert ist, um ein Gruppenattribut mit dem Wert " GP-Benutzer " in einer SAML Antwort auf die PANW firewall zu senden (wie SAML IdP konfiguriert wird, würde den Rahmen dieses Artikels sprengen)

4. mit einem Identity Provider Server-Profil konfiguriert ist 5. PANW firewall PANW firewall das obige SAML Identity Provider Server-Profil in einem SAML-Authentifizierungsprofil verwendet, das so konfiguriert ist, dass es nach dem Username Attribute: username & User Group Attribute: groups sucht und seine Werte für die weitere Verwendung extrahiert SAML






 

Darüber hinaus ist der SAML-Typ Authentifizierungsprofil mit einer Zulassungsliste konfiguriert, um nur Benutzer zuzulassen, die Teil einer SAML Gruppe GP-Benutzer



6 sind. Der SAML-Typ Authentifizierungsprofil wird von einem Portal verwendet Um es noch einmal zu wiederholen: Das SAML Benutzergruppenattribut und sein Wert werden nirgendwo anders in der Konfiguration referenziert, einschließlich der firewall GP Portal-Agent-Konfigurationen GlobalProtect



oder Clientless-KonfigurationenVPN, sondern nur im SAML-Typ Authentifizierungsprofil für Zulassungsliste.  Wenn Benutzer oder Gruppen in GP Portal Agent-Konfigurationen oder Clientless-Konfigurationen VPNkonfiguriert werden müssen, müssen sie über Verzeichnisdienste aus den Einstellungen für die Benutzergruppenzuordnung stammen.

 

SAML Benutzeranmeldung, Authentifizierungsergebnis und Zuordnung von Benutzer zu Gruppe

A. Während des SAML Authentifizierungsprozesses sendet der SAML IdP eine SAML Antwort an die Datei, die PANW firewall Folgendes enthält:

• StatusCode: Erfolg (d. h. SAML der IdP hat den Benutzer erfolgreich authentifiziert)
• Antragsteller-Name-ID: user10@pantac-222-70.local (d. h. authentifizierte Benutzer-NameID)
• Gruppenattribut: Gruppen mit dem Wert GP-Benutzer
   

<saml2p:Status 
	xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
	<saml2p:StatusCode 
		Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</saml2p:Status>

<saml2:Subject 
	xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
	<saml2:NameID 
		Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">user10@pantac-222-70.local
	</saml2:NameID>
	...
</saml2:Subject

<saml2:Attribute 
	Name="groups" 
	NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
	<saml2:AttributeValue 
		xmlns:xs="http://www.w3.org/2001/XMLSchema" 
		xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
		xsi:type="xs:string">GP-Users
	</saml2:AttributeValue>
</saml2:Attribute>

B. PANW firewall Ruft die SAML Der Antwort- und authd-Prozess verarbeitet es in der folgenden Reihenfolge:

• Empfängt die SAML Assertion in der SAML Antwort
• Extrahieren Sie Attributnamengruppen mit zwei Werten: GP-Benutzer
• Obwohl SAML das Authentifizierungsprofil mit dem Attribut username konfiguriert ist, hat authd in diesem Beispiel das Attribut username in der SAML Antwort nicht gefunden (d. h. IdP sendet das Attribut username nicht) SAML
• Antragsteller-NameID: user10@pantac-222-70.local wird als Benutzername verwendet
• Zugelassene Liste konfigurierte BenutzerGP-, die mit dem extrahierten Gruppenwert GP-Benutzer übereinstimmen
• Benutzer erfolgreich authentifiziert
   

2022-10-14 17:21:52.019 -0700 Received SAML Assertion from 'http://www.okta.com/-----------------' from client '10.x.x.x'
2022-10-14 17:21:52.020 -0700 debug: _extract_sso_attribute(pan_authd_saml_internal.c:543): Got attr name (usergroup) "groups" ; value "Everyone;GP-Users";
2022-10-14 17:21:52.021 -0700 debug: _parse_sso_response(pan_authd_saml.c:1443): SAML SSO response from 'http://www.okta.com/-----------------' has no username attribute
2022-10-14 17:21:52.022 -0700 debug: _parse_sso_response(pan_authd_saml.c:1446): SAML SSO response from 'http://www.okta.com/-----------------': Use saml:Subject NameID "user10@pantac-222-70.local" as username
2022-10-14 17:21:52.046 -0700 SAML Assertion: signature is validated against IdP certificate (subject 'crt.Okta_IdP.shared') for user 'user10@pantac-222-70.local'
2022-10-14 17:21:52.047 -0700 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5393): Check allow list status for user10@pantac-222-70.local (Okta_SAML_AuthProf/vsys1)
2022-10-14 17:21:52.047 -0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:569): This is a single vsys platform, group check for allow list is performed on "vsys1"
2022-10-14 17:21:52.048 -0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:638): user "user10@pantac-222-70.local" whose group "GP-Users" of groups: "GP-Users" is in allow list of auth prof "Okta_SAML_AuthProf" on vsys "vsys1"
...
2022-10-14 17:21:52.049 -0700 debug: _log_saml_respone(pan_auth_server.c:363): Sent PAN_AUTH_SUCCESS SAML response:(authd_id: 7132225947322817561) (return username 'user10@pantac-222-70.local') (auth profile 'Okta_SAML_AuthProf') (NameID 'user10@pantac-222-70.local') ...

Randnotiz: In Bezug auf die Benutzer-zu-Gruppen-Zuordnung, da der Benutzer erfolgreich als user10@pantac-222-70.local authentifiziert wurde, wird er firewall versuchen, übereinstimmende Benutzerattribute zu finden, die aus den Benutzergruppenzuordnungseinstellungen über abgerufen AD wurden (siehe Punkt 1 zuvor). Da es mit einem der Benutzerattribute pantac-222-70\user10 übereinstimmt, wird es als Mitglied der AD-zugeordneten 5 Gruppen betrachtet. Diese AD 5 Gruppen sollten für Richtlinien, Portal-Agent-Konfigurationen, GP GP Portal-Clientless-Konfigurationen VPN usw. verwendet werden