场景:
本文主要介绍FortiGate未从Azure上获取group-id的attributes属性参数,导致组不匹配的问题处理方法。
细节:
当用户尝试使用Azure SAML Group账号通过Web SSL-VPN登录,在输入账号用户名和密码后,用户会立即在浏览器中显示“Session Ended(会话结束)”的提示,并出现错误“/remote/logoutok”。
对SAML登录过程进行故障排除,我们可以在尝试登录时输入以下命令收集相关信息:
# diagnose vpn ssl debug-filter src-addr 1.1.1.1 //过滤SSLVPN源地址
# diagnose debug application samld -1
# diagnose debug application sslvpn -1
# diagnose debug enable
注:这里对组的 samld 响应:未获取属性值。
在Azure Portal中验证配置后,在“用户属性和声明(Users Attributes & Claims)”下,类似于为“用户名(username)”添加“新声明(new claim)”以定