Mensaje de error: Error 400 al intentar iniciar sesión en el agente de Global Protect

• Problema observado después de la actualización de Windows. Afectó a varias máquinas con ventana.
• Cuando el arranque de la máquina, el primer intento del usuario de iniciar sesión en la protección global fallará con el mensaje de error "error 400".
• Si el usuario sale del GP agente y vuelve a almorzarlo, el agente se autenticará y se conectará automáticamente sin que el GP usuario introduzca las credenciales.

(P4748-T3648)Debug(1379): 04/17/21 20:48:11:449 User cancel current action, turn to disconnected.
(P4748-T3648)Debug( 410): 04/17/21 20:48:11:450 Portal is not connected and hide the gateway list.
(P4748-T3648)Debug(3372): 04/17/21 20:48:11:450 Change dialog status to not connected.
(P4748-T3648)Debug(1254): 04/17/21 20:48:11:476 Found more than one connections, return empty.
(P4748-T3648)Debug(2310): 04/17/21 20:48:11:502 receive resize message from 1, and new height is 243.
(P4748-T3648)Debug(2310): 04/17/21 20:48:11:509 receive resize message from 1, and new height is 291.
(P4748-T3648)Debug( 906): 04/17/21 20:48:12:567 Receive inactive message.
(P4748-T3648)Debug(1132): 04/17/21 20:48:12:695 Display the main panel when user click the tray icon.
(P4748-T3648)Debug(3268): 04/17/21 20:48:12:704 Show the main panel.
(P4748-T3648)Debug( 906): 04/17/21 20:48:13:027 Receive inactive message.
(P4748-T3648)Debug( 506): 04/17/21 20:48:13:030 CPanSAMLDlg::HideViewImpl - view is visible now. the page:
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <meta name="robots" content="none" />

    <title>Parsons - Bad Request</title>

    <link rel="stylesheet" type="text/css" href="/assets/css/sections/errors-v2.css">
</head>
<body>
    <div class="login-bg-image" style="background-image: url('https://ok11static.oktacdn.com/fs/bco/7/fs0n3c2tqlgHSJHmN4x6')"></div>
    <div class="widget">
        <div class="container">
            <div class="header">
                <img alt="Parsons" src="https://ok11static.oktacdn.com/fs/bco/1/fs0mfwb44U5Qy3p2T4x6" class="org-logo">
            </div>
            <div class="illustration">
                <!-- Show HTTP error code if exists -->
                <div class="error-code">400</div>
                <!-- Show generic error image if not  -->
            </div>
            <div class="content">
                <h2 class="o-form-title">Bad Request</h2>
                <p class="o-form-explain">Your request resulted in an error. Bad SAML request</p>
                <a href="/" class="button">Go to Homepage</a>

            </div>
        </div>
    </div>
</body>
</html>

• Palo Alto firewall.
• Portal/puerta de enlace de Global Protect (GP) configurado.
• Autenticación mediante LDAP, OKTA y CAC (tarjeta de acceso común).
• Versión de Palo Alto Agent : Cualquiera

• El Idp (proveedor de identidad) se configuró para incluir a todos los AD miembros del grupo en la SAML aserción.
• Cuando se incluyen todos los miembros, hace que la cadena sea demasiado grande, lo que hace que se muestre el error 400 .

1. Reconfigurar el Idp y filtrar el número de AD grupos enviados en SAML la aserción
2. Asegúrese de incluir los miembros del grupo necesarios VPN en lugar de todos los miembros de todos los AD grupos.