SAML 与 GlobalProtect 应用程序不提示选择第二个因素身份验证
13749
Created On 03/06/20 18:22 PM - Last Modified 03/26/21 18:09 PM
Symptom
- 使用浏览器窗口提示用户使用第二个因子 SAML ,但不是从 GlobalProtect 代理中提示用户。
- 用户尝试 GlobalProtect 使用 GlobalProtect 代理应用程序进行连接,它会看到一个 SAML 用于安全身份验证的登录页面。
- A必须提示提供登录凭据的 fter 以选择第二个因子身份验证。
- 示例:通过电话或电子邮件接收密码以进行第二个因子身份验证。
Environment
- 全球保护
- 任何电流 PAN-OS
- 安装代理的客户端设备 GP
Cause
- IDP"服务器登录页不计算浏览器,也不计算标准浏览器,基于其用户代理字符串。
- 因为 GlobalProtect ,浏览器的用户代理字符串是 GlobalProtect "Pan" 和 GlobalProtect GP "Mac客户端", 将由 IDP 登录页面识别。
Resolution
更新登录页面以考虑用户代理(只需 GlobalProtect 在用户代理字符串中搜索")。