Utiliser SAML l’attribut Groupe d’utilisateurs dans la liste verte pour authentifier un GP utilisateur du portail

Qu’est-ce que l’attribut de groupe d’utilisateurs dans le type Profil d’authentification et comment peut-il être utilisé dans SAML-la configuration ?

A SAML- type Profil d’authentification Permet d’extraire un attribut de groupe d’une SAML réponse via un champ Attribut de groupe d’utilisateurs. Une fois extraite, la valeur d’attribut de groupe spécifiée est évaluée par rapport aux valeurs de la liste verte de ce profil. L’utilisateur n’est autorisé que si la valeur de l’attribut de groupe correspond à la valeur configurée dans la liste verte.

NOTE: La valeur User Group Attribute ne peut être utilisée que pour évaluer l’authentification de type Liste verte de SAML-type. La valeur User Group Attribute ne peut être utilisée nulle part ailleurs dans la configuration, y compris tout firewall type de stratégies, de configurations Portal Agent & ClientlessVPN, de configurations Gateway Agent ou de rapports, GlobalProtect etc.

PAN-OS Aide à la configuration (référence) :

Attribut de groupe d’utilisateurs (uniquement) : entrez l’attribut qui identifie le groupe d’utilisateurs d’un utilisateur authentifié dans les messages de l’IdP (SAMLgroupe d’utilisateurs SAML par défaut). Si le profil de serveur IdP contient des métadonnées qui spécifient un attribut de groupe d’utilisateurs, le champ utilise automatiquement cet attribut. Le firewall utilise les informations de groupe pour faire correspondre les utilisateurs authentifiés aux entrées de la liste verte, et non pour les stratégies ou les rapports.

À titre d’exemple dans cet article, nous allons configurer un profil d’authentification de type pour authentifier un SAML-GP utilisateur sans VPN client du portail en fonction de l’attribut de groupe d’utilisateurs

Configuration et explication

1. Nous supposons qu'il est déjà configuré avec un > d'identification d'utilisateur des paramètres de mappage de groupe où il obtient des mappages d'utilisateur à groupe ainsi que des attributs utilisateur et des attributs de groupe à partir d' PANW firewall un AD via LDAP.




À titre d’exemple dans cet article, il existe un utilisateur10 dans le domaine pantac-222-70 qui fait partie des groupes suivants et possède les attributs utilisateur suivants :

> show user user-ids match-user  "pantac-222-70\user10"

User Name                         Vsys    	Groups
------------------------------------------------------------------
pantac-222-70\user10              vsys1     cn=users,cn=builtin,dc=pantac-222-70,dc=local
                                            cn=remote desktop users,cn=builtin,dc=pantac-222-70,dc=local
                                            cn=non-admin users,cn=users,dc=pantac-222-70,dc=local
                                            cn=vpn-users,dc=pantac-222-70,dc=local
                                            cn=domain users,cn=users,dc=pantac-222-70,dc=local
											
> show user user-attributes user "pantac-222-70\user10"

Primary: pantac-222-70\user10   Email: user10@pantac-222-70.local
Alt User Names:
1) pantac-222-70\user10
2) user10@pantac-222-70.local

• L’utilisateur pantac-222-70\user10 fait partie de 5 groupes dans AD et identifie l’utilisateur firewall avec deux attributs utilisateur: (1) sAMAccountName (pantac-222-70\user10) et (2) Email & userPrincipleName (user10@pantac-222-70.local)
• Par conséquent, si l’utilisateur est authentifié en tant que pantac-222-70\user10 ou user10@pantac-222-70.local, il pourra l’identifier et trouver les 5 groupes auxquels il firewall est associé.

 
2. Supposons maintenant que le même utilisateur10 soit également synchronisé dans SAML Identity Provider (IdP) via AD afin qu'il ait les mêmes AD groupes et attributs. En outre, l’utilisateur10 fait également partie d’un SAML-groupe spécifique Utilisateurs (c’est-à-dire que le groupe GP-Utilisateurs est NOT connu dans GP- AD)

3. Nous supposons que SAML l’IdP est correctement configuré pour envoyer un groupe de groupes de noms d’attributs avec la valeur GP-Utilisateurs dans une SAML réponse à la (la PANW firewall façon dont SAML l’IdP est configuré dépasse le cadre de cet article)

4. est configuré avec un profil de serveur de fournisseur d’identité 5. PANW firewall PANW firewall utilise le profil de serveur de fournisseur d’identité ci-dessus dans un SAML-profil d’authentification de type configuré pour rechercher l’attribut de nom d’utilisateur: nom d’utilisateur et attribut de groupe SAML



SAML d’utilisateurs: regroupe et extrait ses valeurs pour une utilisation ultérieure


 

En outre, le type Profil d’authentification est configuré avec une liste verte pour autoriser uniquement les SAML-utilisateurs qui font partie d’un SAML groupe GP-Utilisateurs



6. Le SAML-type Profil d'authentification est utilisé par un portail Pour rappel, l'attribut de groupe d'utilisateurs et sa valeur ne sont mentionnés nulle part ailleurs dans la configuration, y compris les configurations de l'agent du GlobalProtect portail



ou les configurations sans VPN client, il est uniquement utilisé dans SAML-le type GP Profil d' SAML authentification pour la firewall liste verte.  Si des utilisateurs ou des groupes doivent être configurés sur des configurations de GP l’agent de portail ou des configurations sans VPN client, ils doivent provenir des paramètres de mappage des groupes d’utilisateurs via les services d’annuaire.

 

SAML Connexion utilisateur, résultat de l’authentification et mappage utilisateur-groupe

A. Au cours du SAML processus d’authentification, l’IdP SAML envoie une SAML réponse au PANW firewall qui contient :

• StatusCode : Réussite (c’est-à-dire SAML que l’IdP a authentifié l’utilisateur avec succès)
• ID du nom de l’objet : user10@pantac-222-70.local (c’est-à-dire ID de nom d’utilisateur authentifié)
• Attribut de groupe : groupes avec valeur GP-Utilisateurs
   

<saml2p:Status 
	xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
	<saml2p:StatusCode 
		Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</saml2p:Status>

<saml2:Subject 
	xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
	<saml2:NameID 
		Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">user10@pantac-222-70.local
	</saml2:NameID>
	...
</saml2:Subject

<saml2:Attribute 
	Name="groups" 
	NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
	<saml2:AttributeValue 
		xmlns:xs="http://www.w3.org/2001/XMLSchema" 
		xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
		xsi:type="xs:string">GP-Users
	</saml2:AttributeValue>
</saml2:Attribute>

B. PANW firewall obtient le SAML Le processus de réponse et d’authentification le traite dans l’ordre ci-dessous :

• Reçoit l’assertion SAML dans la SAML réponse
• Extraire les groupes de noms d’attributs qui ont deux valeurs : GP-Utilisateurs
• Bien que SAML le profil Auth soit configuré avec un nom d’utilisateur d’attribut, authd n’a pas trouvé l’attribut username dans la réponse dans cet exemple (c’est-à-dire SAML que l’IdP n’envoie pas l’attribut SAML username)
• Nom du sujetID : user10@pantac-222-70.local est utilisé comme nom d’utilisateur
• Liste verte GP-configurée Utilisateurs correspondant à la valeur GP-Groupes extraits Utilisateurs
• L’utilisateur s’est authentifié avec succès
   

2022-10-14 17:21:52.019 -0700 Received SAML Assertion from 'http://www.okta.com/-----------------' from client '10.x.x.x'
2022-10-14 17:21:52.020 -0700 debug: _extract_sso_attribute(pan_authd_saml_internal.c:543): Got attr name (usergroup) "groups" ; value "Everyone;GP-Users";
2022-10-14 17:21:52.021 -0700 debug: _parse_sso_response(pan_authd_saml.c:1443): SAML SSO response from 'http://www.okta.com/-----------------' has no username attribute
2022-10-14 17:21:52.022 -0700 debug: _parse_sso_response(pan_authd_saml.c:1446): SAML SSO response from 'http://www.okta.com/-----------------': Use saml:Subject NameID "user10@pantac-222-70.local" as username
2022-10-14 17:21:52.046 -0700 SAML Assertion: signature is validated against IdP certificate (subject 'crt.Okta_IdP.shared') for user 'user10@pantac-222-70.local'
2022-10-14 17:21:52.047 -0700 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5393): Check allow list status for user10@pantac-222-70.local (Okta_SAML_AuthProf/vsys1)
2022-10-14 17:21:52.047 -0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:569): This is a single vsys platform, group check for allow list is performed on "vsys1"
2022-10-14 17:21:52.048 -0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:638): user "user10@pantac-222-70.local" whose group "GP-Users" of groups: "GP-Users" is in allow list of auth prof "Okta_SAML_AuthProf" on vsys "vsys1"
...
2022-10-14 17:21:52.049 -0700 debug: _log_saml_respone(pan_auth_server.c:363): Sent PAN_AUTH_SUCCESS SAML response:(authd_id: 7132225947322817561) (return username 'user10@pantac-222-70.local') (auth profile 'Okta_SAML_AuthProf') (NameID 'user10@pantac-222-70.local') ...

Note latérale : En ce qui concerne le mappage utilisateur-groupe, comme l’utilisateur a été authentifié avec succès en tant que user10@pantac-222-70.local, le tentera de trouver les attributs utilisateur correspondants récupérés à partir des paramètres de mappage de groupe d’utilisateurs firewall via AD (discuté au point 1 plus haut). Parce qu'il correspond à l'un des attributs utilisateur pantac-222-70\user10 , il sera considéré comme un membre des AD-5 groupes mappés. Ces AD 5 groupes doivent être utilisés sur les stratégies, les configurations de l’agent de portail, les configurations sans VPN client du portail, GP GP etc.