使用SAMLを認証するための許可リスト内のユーザー グループ属性GPポータル ユーザー

とはユーザーグループ属性のSAML-タイプ認証プロファイルまた、構成でどのように使用できますか?

A SAML-タイプ認証プロファイルからグループ属性を抽出できます。SAMLフィールドを介した応答ユーザーグループ属性. 抽出されると、指定されたグループ属性値は、許可リストそのプロファイルの。 グループ属性値が許可リストの構成値と一致する場合にのみ、ユーザーは許可されます。

NOTE : のユーザーグループ属性値ができるそれだけを評価するために使用されます。許可リストのSAML-タイプ認証。 のユーザーグループ属性値は、firewallあらゆるタイプのポリシーを含む構成、GlobalProtectポータル エージェント & クライアントレスVPN構成、ゲートウェイ エージェントの構成、またはレポートなど。

PAN-OS構成ヘルプ (参照):

ユーザーグループ属性 (SAMLそれだけ）：を入力SAMLIdP からのメッセージで認証ユーザーのユーザー グループを識別する属性 (デフォルトはユーザー グループ)。 IdP サーバー プロファイルにユーザー グループ属性を指定するメタデータが含まれている場合、フィールドは自動的にその属性を使用します。 のfirewallグループ情報を使用して、ポリシーやレポートではなく、許可リストのエントリに対して認証ユーザーを照合します。

この記事の例として、SAML-認証するための認証プロファイルを入力しますGPポータル クライアントレスVPNユーザーベースユーザーグループ属性

構成と説明

1. 私たちは、PANW firewallですでに構成されていますユーザー識別 > グループ マッピング設定ユーザーからグループへのマッピングを、ユーザー属性およびグループ属性とともに取得します。AD経由LDAP.




この記事の例として、ユーザー10ドメイン内pantac-222-70次のグループの一部です次のユーザー属性があります。

> show user user-ids match-user  "pantac-222-70\user10"

User Name                         Vsys    	Groups
------------------------------------------------------------------
pantac-222-70\user10              vsys1     cn=users,cn=builtin,dc=pantac-222-70,dc=local
                                            cn=remote desktop users,cn=builtin,dc=pantac-222-70,dc=local
                                            cn=non-admin users,cn=users,dc=pantac-222-70,dc=local
                                            cn=vpn-users,dc=pantac-222-70,dc=local
                                            cn=domain users,cn=users,dc=pantac-222-70,dc=local
											
> show user user-attributes user "pantac-222-70\user10"

Primary: pantac-222-70\user10   Email: user10@pantac-222-70.local
Alt User Names:
1) pantac-222-70\user10
2) user10@pantac-222-70.local

• pantac-222-70\user10 ユーザーは、ADそしてそのfirewallユーザーを 2 つのユーザー属性で識別します。 (1) sAMAccountName (pantac-222-70\user10) および(2) メールと userPrincipleName (user10@pantac-222-70.local)
• したがって、ユーザーが次のように認証された場合pantac-222-70\user10またuser10@pantac-222-70.local 、firewallそれを識別し、このユーザーに関連付けられている 5 つのグループを見つけることができます

2. 今、同じことを仮定しましょうユーザー10にも同期されていますSAMLID プロバイダー (IdP) 経由ADだからそれは同じですADグループと属性。 加えてユーザー10の一部でもありますSAML-特定のグループGP-ユーザー(つまり、GP-ユーザーグループはNOTで知られているAD)

3. 私たちは仮定しますSAMLIdP は、グループ属性名を送信するように適切に構成されていますグループの値でGP-ユーザーでSAMLへの対応PANW firewall（どうやってSAMLIdP が構成されていることは、この記事の範囲を超えています)。

4.PANW firewallで構成されていますSAMLID プロバイダー サーバー プロファイル



5.PANW firewall上記を使用していますSAMLID プロバイダー サーバー プロファイルでSAML-タイプ認証プロファイルを探すように構成されていますユーザー名属性: ユーザー名&ユーザー グループ属性: グループさらに使用するためにその値を抽出します

加えてSAML-タイプ認証プロファイルで構成されています許可リストの一部であるユーザーのみを許可するSAMLグループGP-ユーザー



6. のSAML-タイプ認証プロファイルによって使用されていますGlobalProtectポータル



繰り返しますが、SAMLユーザーグループ属性およびその値は、firewallを含む構成GPポータル エージェントの構成またクライアントレスVPN設定でのみ使用されます。SAML-タイプ認証プロファイルために許可リスト。 ユーザーまたはグループを構成する必要がある場合GPポータル エージェントの構成またクライアントレスVPN設定、ディレクトリ サービスを介してユーザー グループ マッピング設定から取得する必要があります。

SAML ユーザー ログイン、認証結果、およびユーザーからグループへのマッピング

A.間にSAML認証プロセス、SAML IdP はSAMLへの対応PANW firewall以下を含む:

• StatusCode: 成功(すなわちSAMLIdP はユーザーの認証に成功しました)
• サブジェクト名ID: user10@pantac-222-70.local (つまり、認証されたユーザーの NameID)
• グループ属性: グループ価値のあるGP-ユーザー
  

<saml2p:Status 
	xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
	<saml2p:StatusCode 
		Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</saml2p:Status>

<saml2:Subject 
	xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
	<saml2:NameID 
		Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">user10@pantac-222-70.local
	</saml2:NameID>
	...
</saml2:Subject

<saml2:Attribute 
	Name="groups" 
	NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
	<saml2:AttributeValue 
		xmlns:xs="http://www.w3.org/2001/XMLSchema" 
		xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
		xsi:type="xs:string">GP-Users
	</saml2:AttributeValue>
</saml2:Attribute>

B.PANW firewallを取得しますSAMLレスポンスと認証済みプロセスは以下の順序で処理します。

• を受け取りますSAMLでのアサーションSAML応答
• 属性名を抽出グループ2 つの値を持つ:GP-ユーザー
• けれどSAML認証プロファイルは属性で構成されますユーザー名しかし認証済み見つからなかったユーザー名の属性SAMLこの例の応答 (つまりSAMLIdP が送信していないユーザー名属性）
• 件名 ID: user10@pantac-222-70.localユーザー名として使用されます
• 構成された許可リストGP-ユーザー抽出したものと一致グループ価値GP-ユーザー
• ユーザーが正常に認証されました
  

2022-10-14 17:21:52.019 -0700 Received SAML Assertion from 'http://www.okta.com/-----------------' from client '10.x.x.x'
2022-10-14 17:21:52.020 -0700 debug: _extract_sso_attribute(pan_authd_saml_internal.c:543): Got attr name (usergroup) "groups" ; value "Everyone;GP-Users";
2022-10-14 17:21:52.021 -0700 debug: _parse_sso_response(pan_authd_saml.c:1443): SAML SSO response from 'http://www.okta.com/-----------------' has no username attribute
2022-10-14 17:21:52.022 -0700 debug: _parse_sso_response(pan_authd_saml.c:1446): SAML SSO response from 'http://www.okta.com/-----------------': Use saml:Subject NameID "user10@pantac-222-70.local" as username
2022-10-14 17:21:52.046 -0700 SAML Assertion: signature is validated against IdP certificate (subject 'crt.Okta_IdP.shared') for user 'user10@pantac-222-70.local'
2022-10-14 17:21:52.047 -0700 debug: pan_auth_saml_resp_process(pan_auth_state_engine.c:5393): Check allow list status for user10@pantac-222-70.local (Okta_SAML_AuthProf/vsys1)
2022-10-14 17:21:52.047 -0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:569): This is a single vsys platform, group check for allow list is performed on "vsys1"
2022-10-14 17:21:52.048 -0700 debug: pan_auth_cache_user_is_allowed(pan_auth_cache_allowlist_n_grp.c:638): user "user10@pantac-222-70.local" whose group "GP-Users" of groups: "GP-Users" is in allow list of auth prof "Okta_SAML_AuthProf" on vsys "vsys1"
...
2022-10-14 17:21:52.049 -0700 debug: _log_saml_respone(pan_auth_server.c:363): Sent PAN_AUTH_SUCCESS SAML response:(authd_id: 7132225947322817561) (return username 'user10@pantac-222-70.local') (auth profile 'Okta_SAML_AuthProf') (NameID 'user10@pantac-222-70.local') ...

サイドノート：ユーザーからグループへのマッピングについては、ユーザーは正常に認証されているため、 user10@pantac-222-70.local、のfirewallからフェッチされた一致するユーザー属性を見つけようとしますユーザーグループのマッピング設定経由AD(前述のポイント 1 で説明)。 のどれかと一致するからです。 pantac-222-70\user10ユーザー属性、それはのメンバーと見なされますAD-5 つのグループをマッピングしました。 これらはADポリシーでは 5 つのグループを使用する必要があります。GPポータル エージェント構成、GPポータル クライアントレスVPN構成など