GlobalProtect client sur iPhone ou iPad impossible de se connecter lors de l’utilisation de l’authentification SAML
55151
Created On 08/23/19 22:55 PM - Last Modified 04/20/24 02:21 AM
Symptom
L’agent Global Protect sur iPad ou iPhone iOS configuré avec la pré-ouverture de session ou l’ouverture de session utilisateur à l’aide de l’authentification se connectera brièvement, puis sera déconnecté avec le message d’erreur SAML : Échec de la connexion. La connexion Internet semble être hors ligne.
Environment
- PAN-OS 8.0 et versions ultérieures.
- GlobalProtect Agent 5.0 et versions ultérieures sur iOS iPad ou iPhone.
- GlobalProtect configuré avec la méthode de connexion Always-On.
- SAML configuré pour l’authentification client.
Cause
- GlobalProtect L’application iOS ne prend en charge SAML que l’authentification pour la méthode de connexion à la demande (connexion manuelle initiée par l’utilisateur) en raison de la limitation du framework Apple VPN .
- Lorsque le mode Always-on est déployé sur des appareils iOS, l’appareil Apple bloque la connexion Internet et comme SAML l’authentification nécessite Internet, cela ne fonctionnera pas.
- Reportez-vous à la section Setup Authentication (Authentification de l’installationSAML) pour l’installation.SAML
Resolution
Pour permettre à l’iPhone ou à l’iPad iOS de fonctionner avec Global Protect, nous devons avoir On-demand comme méthode de connexion. La meilleure façon d’accomplir la même chose est de configurer un nouvel agent et de le déplacer en haut de la liste comme indiqué ci-dessous :
- GUI: > du portail > >GlobalProtect réseau (sélectionnez le portail) > Agent > Ajouter > utilisateur/groupe d’utilisateurs > Ajouter > sélectionnez iOS dans l’onglet OS au lieu de Tout.
- GUI: > du portail > >GlobalProtect réseau (sélectionnez le portail) > Agent > (sélectionnez le nouvel agent) > > App Configuration > App Sélectionnez À la demande comme méthode de connexion.
- Remplissez d’autres informations appropriées.
- GUI: > > Portail >GlobalProtect réseau (sélectionnez le portail) > Agent > (sélectionnez le nouvel agent) > Utilisez Déplacer vers le haut pour que le nouvel agent soit le premier de la liste.
- Validez les modifications.
Additional Information
Avec la configuration ci-dessus, le nouvel agent prendra en charge les clients iOS Pad et iPhone. Tous les autres clients utiliseront le deuxième agent de la liste et ne sont pas affectés.