FortiGate调用Azure SAML Group不匹配,报错显示

最新推荐文章于 2024-04-23 19:05:55 发布
最新推荐文章于 2024-04-23 19:05:55 发布
阅读量2.7k 收藏
点赞数
分类专栏: # FortiGate 技术小贴士 文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hqj7394314/article/details/122986196
版权
本文详细介绍了在FortiGate设备上遇到的Azure SAML Group匹配失败,导致用户登录Web SSL-VPN时出现“Session Ended”错误的情况。通过排查发现是Azure Portal中用户属性和声明配置问题,解决方案是正确设置SAML的组声明以匹配FortiGate上的组名。配置包括在Azure中添加组声明,调整FortiGate的SAML和用户组设置,确保组ID能成功匹配。
摘要由CSDN通过智能技术生成

场景:

本文主要介绍FortiGate未从Azure上获取group-id的attributes属性参数,导致组不匹配的问题处理方法。

细节:

当用户尝试使用Azure SAML Group账号通过Web SSL-VPN登录,在输入账号用户名和密码后,用户会立即在浏览器中显示“Session Ended(会话结束)”的提示,并出现错误“/remote/logoutok”。

对SAML登录过程进行故障排除,我们可以在尝试登录时输入以下命令收集相关信息:
# diagnose vpn ssl debug-filter src-addr 1.1.1.1        //过滤SSLVPN源地址
# diagnose debug application samld -1
# diagnose debug application sslvpn -1
# diagnose debug enable

注:这里对组的 samld 响应:未获取属性值。

在Azure Portal中验证配置后,在“用户属性和声明(Users Attributes & Claims)”下,类似于为“用户名(username)”添加“新声明(new claim)”以定义属性的配置。 这里的“组(group)”也被配置为“源属性(source attribute)”为“user.groups”。

删除了现有的声明名称“组”并添加了“组声明(group claim)”,在这里我们可以

最低0.47元/天 解锁文章
叫我小火柴
关注
专栏目录
使用 OKTA 作为 SAML IdP 为 FortiClient配置 SAML SSO 登录
我只是个侠客
10-11 633
2)转到应用程序选项卡并选择添加应用程序。描述 随着用于 FortiGate 和 FortiClient 6.4 的 FortiOS 6.4 的发布,现在可以创建SSL-VPN SSO 单点登录解决方案,该解决方案可以集成第三方 SAML SSO 身份提供商 (IdP) 并利用其 MFA 功能。 前置条件 FortiGate 运行 FortiOS 6.4.0 或更高版本 FortiClient 或 FortiClientVPN 6.4.0 或更高版本 OKTA 账户 解决方案 配置 Ok...
Azure FortiGate 部署文档中文版.pdf
07-08
Azure FortiGate 部署文档中文版.pdf
PHP使用基于SMAL协议的AzureAD认证实现SSO
团子窝
08-09 1935
Azure Active Directory (Azure AD) 是 Microsoft 提供的多租户、基于云的目录和标识管理服务。Azure AD 将核心目录服务、应用程序访问管理和标识保护组合到一个解决方案中,提供基于标准的平台,帮助开发人员根据集中策略和规则为其应用程序提供访问控制。 SAML 即安全断言标记语言,英文全称是 Security Assertion Markup Langu...
Fortinet SSL VPN/FortiGate对接宁盾实现飞书SAML认证登录
最新发布
yuzijiang11111的博客
04-23 494
宁盾提供了一种方案,即 Fortinet SSL VPN / FortiGate对接宁盾,实现飞书 SAML 认证(SSO 单点登录协议的一种)。
【无标题】ssh登陆 提示 session ended very soon
tiludou6119的博客
12-07 967
royal tsx 无法连接vmware虚拟机linux,提示 session ended very soon 发现的两个原因: 1、重置过linux密码,然后本地保存.ssh/known_hosts 里的key还是以前生成的,这是把对应ip的可以删除,ssh链接时重新生成就好了。 2、vmware系统需要及时更新,否则宿主机系统升级了,vmware不升级会有可能出问题。macos这种经常升级的系统尤其重要。 ...
【认证篇 / 本地】(7.0) ❀ 01. 本地用户认证 ❀ FortiGate 防火墙
防火墙技术专栏
05-17 3188
FortiGate防火墙的作用是用来抵御外网的攻击,但是也可以用来限制内网的访问权限,除了用IP地址进行限制外,也可以用用户认证来进行限制访问。最常用的就是本地用户认证。
fortigate7.2.4
05-20
fortigate7.2.4
Fortigate 7.0.0 firmware fortigate 7.0.0固件
06-26
Fortigate 7.0.0 firmware fortigate 7.0.0固件
FortiGate NSE4 Security 安全 7.0全套中文课件教程
06-07
在本课程中,你将学习如何使用基本的FortiGate功能,包括安全配置文件。你将探索策略、安全结构、用户身份验证、SSL,以及如何使用安全配置文件(如IPS、反病毒、web过滤、应用控制等)保护你的网络。 FortiGate_Sec_...
将 Fortinet 连接到
sinolover的专栏
12-27 597
本文介绍了如何将 Fortinet 设备连接到 Azure Sentinel。Fortinet 数据连接器可让你轻松地将 Fortinet 日志连接到 Azure Sentinel,查看仪表板、创建自定义警报和改进调查。使用 Azure 上的 Fortinet 可以更深入地了解组织的 Internet 使用情况,并增强其安全性操作功能。 工作原理 需要在专用 Linux 计算机(VM 或本...
FotiGate SDWAN 简单组网,实现基于应用的智能选路
chenjingwen的博客
12-24 4131
文章目录前言一、前期环境准备?二、使用步骤1.引入库2.读入数据总结 前言 SDWAN是近几年的提出的一种新型广域网组网方式;它主要有以下几个优点: 1.基于应用选路, 2.智能切换 3.合理利用Internet线路资源,节省开通专线费用,有效降低TCO 本文将介绍SDWAN的Gartner象限领导者Fotnet的部署和测试 一、前期环境准备? ## 1.拓扑规划 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impor
教程篇(7.0) 07. 诊断和故障排除 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
防火墙技术专栏
07-29 3226
在本课中,你将学习如何诊断和排除FortiClient问题和FortiClient EMS问题。
【隧道篇 / SSL】(5.2) ❀ 01. SSL 与 FortiClient 配置 ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
09-02 4万+
【简介】从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。...
教程篇(7.0) 02. FortiGate安全 & 安全架构 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
01-25 1716
在本课中,你将了解Fortinet安全结构。通过展示在部署Fortinet安全结构、使用和扩展安全结构功能以及了解其拓扑结构方面的能力,你将能够在你的网络中有效地使用Fortinet安全结构。
飞塔防火墙 Fortinet 固件6.23_1066升级到6.24_1112版本记录- 20200520
autop500的博客
05-21 4251
1.查看官方升级顺利: https://customersso1.fortinet.com/saml-idp/login/?next=%2Fsaml-idp%2Flogin_process%2F 2.下载官方固件升级包: https://support.fortinet.com/Download/FirmwareImages.aspx 3.备份本地设备配置文件到电脑: 4.重启进入Boot模式并格式化设备: FortiGate-50E (17:37-01.31.2017) Ver:05000
单点登录SSO技术资料收集
ctangqh的专栏
11-30 4652
本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互
fortigate ha 不间断升级
05-31
FortiGate HA 支持不间断升级,这意味着在升级过程中可以保持服务的连续性,而不会影响网络的可用性。在进行不间断升级之前,您需要确保备份了当前的配置文件,并且已经检查了升级文件的完整性和兼容性。在升级过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叫我小火柴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值