GlobalProtect El cliente en iPhone o iPad no puede conectarse cuando se usa SAML la autenticación
55151
Created On 08/23/19 22:55 PM - Last Modified 04/20/24 02:21 AM
Symptom
El agente de Global Protect en iOS iPad o iPhone configurado con inicio de sesión previo o inicio de sesión de usuario mediante SAML autenticación se conectará brevemente y luego se desconectará con el mensaje de error: Error de conexión. La conexión a Internet parece estar fuera de línea.
Environment
- PAN-OS 8.0 y superior.
- GlobalProtect Agente 5.0 y superior en iOS iPad o iPhone.
- GlobalProtect configurado con el método de conexión siempre activa.
- SAML configurado para la autenticación de cliente.
Cause
- GlobalProtect La aplicación iOS solo admite SAML la autenticación para el método de conexión bajo demanda (conexión manual iniciada por el usuario) debido a la limitación del marco de Apple VPN .
- Cuando se implementa el modo siempre activo en dispositivos iOS, el dispositivo Apple bloquea la conexión a Internet y, dado SAML que la autenticación requiere Internet, no funcionará.
- Consulte Autenticación de configuración para la SAML configuración SAML
Resolution
Para permitir que iOS iPhone o iPad funcione con Global Protect, necesitamos tener On-demand como método de conexión. La mejor manera de lograr lo mismo es configurar un nuevo agente y moverlo a la parte superior de la lista como se muestra a continuación:
- GUI: > de red > Portal > (seleccione el portal) >GlobalProtect Agente > Agregar > usuario/grupo de usuarios > Agregar > seleccione iOS en la OS pestaña en lugar de Cualquiera.
- GUI: > de red > Portal > (seleccione el portal) > > del agente (seleccione el nuevo agente) > >GlobalProtect App Configuración > App Seleccione Bajo demanda como método de conexión.
- Complete otra información según corresponda.
- GUI: > de red > Portal > (seleccione el portal) > >GlobalProtect del agente (seleccione el nuevo agente) > Utilice Subir para que el nuevo agente sea el primero de la lista.
- Confirme los cambios.
Additional Information
Con la configuración anterior, el nuevo agente se encargará de los clientes de iOS Pad y iPhone. Todos los demás clientes utilizarán el segundo agente de la lista y no se verán afectados.