GlobalProtect Client auf dem iPhone oder iPad kann bei Verwendung der SAML Authentifizierung keine Verbindung herstellen
55151
Created On 08/23/19 22:55 PM - Last Modified 04/20/24 02:21 AM
Symptom
Der Global Protect-Agent auf iOS, iPad oder iPhone, der mit Vorabanmeldung oder Benutzeranmeldung mit Authentifizierung konfiguriert ist, stellt kurz eine Verbindung her und wird dann mit SAML der Fehlermeldung getrennt: Verbindung fehlgeschlagen. Die Internetverbindung scheint offline zu sein.
Environment
- PAN-OS 8.0 und höher.
- GlobalProtect Agent 5.0 und höher auf iOS, iPad oder iPhone.
- GlobalProtect konfiguriert mit der Always-On-Verbindungsmethode.
- SAML Konfiguriert für die Clientauthentifizierung.
Cause
- GlobalProtect Die iOS-Anwendung unterstützt SAML aufgrund der Einschränkungen des VPN Apple-Frameworks nur die Authentifizierung für die On-Demand-Verbindungsmethode (manuelle vom Benutzer initiierte Verbindung).
- Wenn der Always-on-Modus auf iOS-Geräten bereitgestellt wird, blockiert das Apple-Gerät die Internetverbindung, und da SAML die Authentifizierung das Internet erfordert, funktioniert sie nicht.
- Informationen zum Setup finden Sie unter SAML Setup-Authentifizierung SAML
Resolution
Damit iOS iPhone oder iPad mit Global Protect arbeiten kann, benötigen wir On-Demand als Verbindungsmethode. Der beste Weg, dies zu erreichen, besteht darin, einen neuen Agenten zu konfigurieren und ihn wie unten gezeigt an den Anfang der Liste zu verschieben:
- GUI: Network > > Portal > (wählen Sie das Portal aus) > Agent > > Benutzer/Benutzergruppe hinzufügen > Hinzufügen >GlobalProtect wählen Sie iOS auf der OS Registerkarte Beliebig aus.
- GUI: Network > > Portal > (wählen Sie das Portal aus) > Agent > (wählen Sie den neuen Agenten aus) >GlobalProtect > App Konfiguration > App Wählen Sie On-Demand als Verbindungsmethode aus.
- Geben Sie gegebenenfalls weitere Informationen ein.
- GUI: Network > > Portal > (wählen Sie das Portal aus) > Agent > (wählen Sie den neuen Agenten aus) >GlobalProtect Verwenden Sie Move Up, damit der neue Agent der erste in der Liste ist.
- Übernehmen Sie die Änderungen.
Additional Information
Mit der obigen Konfiguration kümmert sich der neue Agent um iOS Pad- und iPhone-Clients. Alle anderen Clients verwenden den zweiten Agenten in der Liste und sind nicht betroffen.