Usar SAML el atributo de grupo de usuarios en la lista de permitidos para autenticar a un GP usuario del portal

¿Qué es el atributo de grupo de usuarios en el tipo Perfil de autenticación y cómo se puede utilizar en SAML-la configuración?

A SAML- type Authentication Profile permite la extracción de un atributo de grupo de una SAML respuesta a través de un campo User Group Attribute. Una vez extraído, el valor del atributo de grupo especificado se evalúa con respecto a los valores de la Lista de permitidos de ese perfil. El usuario sólo se permite si el valor del atributo de grupo coincide con el valor configurado en Lista de permitidos.

NOTE: El valor del atributo de grupo de usuarios sólo se puede utilizar para evaluar la lista de permitidos de autenticación de SAML-tipo. El valor del atributo de grupo de usuarios no se puede utilizar en ningún otro lugar de la configuración, incluidos ningún tipo de políticas, configuraciones de agente de portal y sin cliente, configuraciones de agente de firewall puerta de VPN enlace o informes, GlobalProtect etc.

PAN-OS Ayuda de configuración (referencia):

Atributo de grupo de usuarios (solo usuario): introduzca el atributo que identifica el grupo de usuarios de un usuario que se autentica en los mensajes del IdP (SAMLel SAML valor predeterminado es usergroup). Si el perfil de servidor IdP contiene metadatos que especifican un atributo de grupo de usuarios, el campo utiliza automáticamente ese atributo. El firewall utiliza la información del grupo para hacer coincidir la autenticación de los usuarios con las entradas de la lista de permitidos, no para directivas o informes.

Como ejemplo en este artículo, configuraremos un perfil de autenticación de tipo para autenticar a un SAML-GP usuario sin VPN cliente del portal basado en el atributo de grupo de usuarios

Configuración y explicación

1. Asumimos PANW firewall que ya está configurado con una configuración de identificación de usuario > asignación de grupo donde obtiene asignaciones de usuario a grupo junto con atributos de usuario y atributos de grupo de una AD vía LDAP.




Como ejemplo en este artículo, hay un usuario10 en el dominio pantac-222-70 que forma parte de los siguientes grupos y tiene los siguientes atributos de usuario:

> show user user-ids match-user  "pantac-222-70\user10"

User Name                         Vsys    	Groups
------------------------------------------------------------------
pantac-222-70\user10              vsys1     cn=users,cn=builtin,dc=pantac-222-70,dc=local
                                            cn=remote desktop users,cn=builtin,dc=pantac-222-70,dc=local
                                            cn=non-admin users,cn=users,dc=pantac-222-70,dc=local
                                            cn=vpn-users,dc=pantac-222-70,dc=local
                                            cn=domain users,cn=users,dc=pantac-222-70,dc=local
											
> show user user-attributes user "pantac-222-70\user10"

Primary: pantac-222-70\user10   Email: user10@pantac-222-70.local
Alt User Names:
1) pantac-222-70\user10
2) user10@pantac-222-70.local

• El usuario pantac-222-70\user10 forma parte de 5 grupos en AD e firewall identifica al usuario con dos atributos de usuario: (1) sAMAccountName (pantac-222-70\user10) y (2) Email & userPrincipleName (user10@pantac-222-70.local)
• Por lo tanto, si el usuario se autentica como pantac-222-70\user10 o user10@pantac-222-70.local, podrá firewall identificarlo y encontrar los 5 grupos a los que está asociado.

 
2. Ahora supongamos que el mismo usuario10 también está sincronizado en SAML el proveedor de identidades (IdP) a través de AD por lo que tiene los mismos AD grupos y atributos. Además, el usuario10 también forma parte de un SAML-grupo específico GP-Usuarios (es decir, el grupo GP-Usuarios se NOT conoce en AD)

3. Suponemos que SAML IdP está configurado correctamente para enviar un grupo de nombres de atributos grupos con el valor de GP-Users in a SAML Response to the (cómo SAML se configura IdP PANW firewall está fuera del alcance de este artículo)

4. está configurado con un perfil de servidor de SAML proveedor de identidades



5. PANW firewall PANW firewall está utilizando el perfil de SAML servidor del proveedor de identidad anterior en un SAML-tipo de perfil de autenticación que está configurado para buscar el atributo de nombre de usuario: nombre de usuario y atributo de grupo de usuarios: agrupa y extrae sus valores para su uso posterior


 

Además, el SAML-tipo Perfil de autenticación se configura con una lista de permitidos para permitir sólo a los usuarios que forman parte de un SAML grupo GP-Usuarios



6. El SAML-tipo Perfil de autenticación está siendo utilizado por un portal Para reiterar, el atributo de grupo de usuarios y su valor no se mencionan en ninguna otra parte de la configuración, incluidas las configuraciones del GP agente del portal GlobalProtect



o las configuraciones sin VPN cliente, solo se usa en SAML-el SAML tipo Perfil de autenticación para la lista de firewall permitidos.  Si es necesario configurar usuarios o grupos en configuraciones GP del agente de portal o configuraciones sin VPN cliente, deben proceder de la configuración de asignación de grupos de usuarios a través de servicios de directorio.

 

SAML Inicio de sesión de usuario, resultado de autenticación y asignación de usuario a grupo

A. Durante el proceso de autenticación, el SAML SAML IdP envía una SAML respuesta a la PANW firewall que contiene:

• StatusCode: Correcto (es decir, SAML IdP autenticó correctamente al usuario)
• ID de nombre de sujeto: user10@pantac-222-70.local (es decir, ID de nombre de usuario autenticado)
• Atributo de grupo: grupos con valor GP-Usuarios
   

<saml2p:Status 
	xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
	<saml2p:StatusCode 
		Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</saml2p:Status>

<saml2:Subject 
	xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
	<saml2:NameID 
		Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">user10@pantac-222-70.local
	</saml2:NameID>
	...
</saml2:Subject

<saml2:Attribute 
	Name="groups" 
	NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
	<saml2:AttributeValue 
		xmlns:xs="http://www.w3.org/2001/XMLSchema" 
		xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
		xsi:type="xs:string">GP-Users
	</saml2:AttributeValue>
</saml2:Attribute>

B. PANW firewall obtiene el SAML El proceso de respuesta y autenticación lo procesa en el siguiente orden:

• Recibe la afirmación en la SAML SAML respuesta
• Extraiga grupos de nombres de atributos que tengan dos valores: GP-Usuarios
• Aunque SAML Auth Profile está configurado con el atributo username, authd no encontró el atributo username en la respuesta en este ejemplo (es decir, SAML IdP no envía el SAML atributo username)
• Nombre del sujetoID: user10@pantac-222-70.local se utiliza como nombre de usuario
• Lista de permitidos configurados Usuarios coincidentes con el valor de grupos extraídos GP-Usuarios GP-
• El usuario se autenticó correctamente
   

2022-10-14 17:21:52.019 -0700 Received SAML Assertion from 'http://www.okta.com/-----------------' from client '10.x.x.x'
2022-10-14 17:21:52.020 -0700 debug: _extract_sso_attribute(pan_authd_saml_internal.c:543): Got attr name (usergroup) "groups" ; value "Everyone;GP-Users";
2022-10-14 17:21:52.021 -0700 debug: _parse_sso_response(pan_authd_saml.c:1443): SAML SSO response from 'http://www.okta.com/-----------------' has no username attribute
2022-10-14 17:21:52.022 -0700 debug: _parse_sso_response(pan_authd_saml.c:1446): SAML SSO response from 'http://www.okta.com/-----------------': Use saml:Subject NameID "user10@pantac-222-70.local" as username
2022-10-14 17:21:52.046 -0700 SAML Assertion: signature is validated against IdP certificate (subject 'crt.Okta_IdP.shared') for user 'user10@pantac-222-70.local'
2022-10-14 17:21:52.047 -0700 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5393): Check allow list status for user10@pantac-222-70.local (Okta_SAML_AuthProf/vsys1)
2022-10-14 17:21:52.047 -0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:569): This is a single vsys platform, group check for allow list is performed on "vsys1"
2022-10-14 17:21:52.048 -0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:638): user "user10@pantac-222-70.local" whose group "GP-Users" of groups: "GP-Users" is in allow list of auth prof "Okta_SAML_AuthProf" on vsys "vsys1"
...
2022-10-14 17:21:52.049 -0700 debug: _log_saml_respone(pan_auth_server.c:363): Sent PAN_AUTH_SUCCESS SAML response:(authd_id: 7132225947322817561) (return username 'user10@pantac-222-70.local') (auth profile 'Okta_SAML_AuthProf') (NameID 'user10@pantac-222-70.local') ...

Nota al margen: Con respecto a la asignación de usuario a grupo, como el usuario se ha autenticado correctamente como user10@pantac-222-70.local, intentará firewall encontrar atributos de usuario coincidentes obtenidos de la Configuración de asignación de grupos de usuarios a través AD de (discutido en el punto 1 anterior). Debido a que coincide con uno de los atributos de usuario pantac-222-70\user10 , se considerará miembro de AD-5 grupos asignados. Estos AD 5 grupos deben usarse en políticas, configuraciones de agente de portal, GP configuraciones sin cliente VPN de portal, GP etc.