GlobalProtect iPhone 或 iPad 上的客户端在使用时无法连接SAML验证
63350
Created On 08/23/19 22:55 PM - Last Modified 04/20/24 02:21 AM
Symptom
iOS iPad 或 iPhone 上的 Global Protect 代理使用预登录或用户登录配置SAML身份验证将短暂连接然后断开连接并显示错误消息:连接失败。 互联网连接似乎处于离线状态.
Environment
- PAN-OS 8.0及以上。
- GlobalProtect iOS iPad 或 iPhone 上的 Agent 5.0 及更高版本。
- GlobalProtect 配置了永远在线的连接方法。
- SAML 配置为客户端身份验证。
Cause
- GlobalProtect iOS应用仅支持SAML由于 Apple,按需连接方法(用户手动启动的连接)的身份验证VPN框架限制。
- 当 Always-on 模式部署到 iOS 设备时,Apple 设备会阻止互联网连接,因为SAML身份验证需要互联网,它不会工作。
- 参考设置SAML验证为了SAML设置
Resolution
要允许 iOS iPhone 或 iPad 与 Global Protect 一起使用,我们需要将按需作为连接方法。 完成相同任务的最佳方法是配置一个新代理并将其移至列表顶部,如下所示:
- GUI:网络 >GlobalProtect > 门户 >(选择门户)> 代理 > 添加>用户/用户组 > 添加 >选择iOS在里面OS选项卡而不是任何。
- GUI:网络 >GlobalProtect > 门户 >(选择门户)> 代理 >(选择新代理)>App >App配置 >选择一经请求作为连接方式.
- 根据需要填写其他信息。
- GUI:网络 >GlobalProtect > 门户 >(选择门户)> 代理 >(选择新代理)> 使用提升使新代理成为列表中的第一个。
- 犯罪变化。
Additional Information
通过以上配置,新的 Agent 将负责 iOS Pad 和 iPhone 客户端。 所有其他客户端将使用列表中的第二个代理并且不受影响。