사용자 이메일이 ZTA 모듈에서 수락되지 않아 Trust Access Enrollment가 실패했습니다.

문제

사용자가 올바른 그룹에 있는 것으로 확인되었지만 등록 워크플로에서 사용자 이메일 주소를 허용하지 않으므로 엔드포인트를 ZTA(Zero Trust Access) 모듈에 등록할 수 없습니다. 이 문제는 구현 단계에서 발생하며 이해 관계자에 대한 Zero Trust Access 데모 및 구축을 차단합니다.

환경

• 기술: 솔루션 지원(SSPT - 계약 필요)
• 하위 기술: 보안 액세스 - 제로 트러스트 액세스(ZTNA, 보안 상태, 클라이언트 기반, 등록, 개인 리소스)
• 제품군: SECACS
• 문제 코드: 구성 지원
• 사용자 그룹 멤버십 및 이메일 주소 검증과 관련된 ZTA 모듈 등록 워크플로
• N/A 소프트웨어 버전에서 처음 발견됨. 다른 하드웨어 및 소프트웨어 버전도 영향을 받을 수 있음

해결

Secure Access Dashboard(보안 액세스 대시보드) > Connect(연결) > User/Groups(사용자/그룹) > UPN Value(UPN 값)가 이메일 형식이 아닌 사용자 ID인지 확인합니다.

ZTA를 등록하는 동안 CSA가 UPN 값에 대해 확인하는 전자 메일 주소를 입력합니다. UPN 값이 전자 메일 형식이 아닌 경우 오류가 발생합니다.

이 문제를 해결하려면 DUO에 대해 3단계를 수행합니다.

1. User(사용자) > User attributes(사용자 특성)에서 사용자 특성을 정의합니다. 사용자 특성 > UPN을 추가합니다. 특성 이름을 SSO 인증 소스로 선택합니다.

inline_image_0.png

2 사용자 특성 매핑 - 디렉터리 동기화:

a. Users(사용자) > Directory Sync(디렉토리 동기화)로 이동합니다.

b. 수정할 Active Directory 동기화를 선택합니다.

c. 동기화된 특성을 구성하려면 [특성] 섹션으로 스크롤합니다.

인라인 이미지_1.png

3. 사용자 동기화에 사용 중인 SSO 애플리케이션에서 다음 속성을 매핑합니다.

a. Application - SSO Application(애플리케이션 - SSO 애플리케이션)으로 이동합니다.

b. 사용자 동기화에 사용 중인 응용 프로그램을 선택합니다.

inline_image_2.png

원인

DUO에서 이메일로 동기화되지 않는 UPN 값

관련 콘텐츠

• Cisco 기술 지원 및 다운로드