簡介
本文描述如何在選擇SAML組或使用者作為身份時,對「不允許訪問」錯誤進行故障排除。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據Cisco Umbrella。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
問題
當網路流量透過通道傳送時,只有在通道被選取為身分時,才會將其重新導向到SAML IdP。如果僅選擇SAML組或使用者作為身份,則不會重定向到IdP,因此會獲得「不允許訪問」,因為它未進行身份驗證。
解決方案
要啟動SAML身份驗證,必須存在用於隧道標識(或網路標識)的策略。 在此策略之上,可以基於SAML使用者/組標識建立策略。SAML關聯當前基於隧道和網路。
意見