エラー メッセージ: Global Protect エージェントにログインしようとするとエラー 400 が表示される
12772
Created On 04/20/21 17:28 PM - Last Modified 05/02/23 06:19 AM
Symptom
- Windows の更新後に問題が発生しました。 複数の Windows マシンに影響を与えました。
- マシンの起動時に、ユーザーが最初にグローバル保護にログインしようとすると、エラー メッセージ「エラー 400」で失敗します。
- ユーザーがGPエージェントを再起動すると、GPエージェントは、ユーザーが資格情報を入力しなくても、自動的に認証および接続します。
GP ログ (LogonUI.log):
(P4748-T3648)Debug(1379): 04/17/21 20:48:11:449 User cancel current action, turn to disconnected.
(P4748-T3648)Debug( 410): 04/17/21 20:48:11:450 Portal is not connected and hide the gateway list.
(P4748-T3648)Debug(3372): 04/17/21 20:48:11:450 Change dialog status to not connected.
(P4748-T3648)Debug(1254): 04/17/21 20:48:11:476 Found more than one connections, return empty.
(P4748-T3648)Debug(2310): 04/17/21 20:48:11:502 receive resize message from 1, and new height is 243.
(P4748-T3648)Debug(2310): 04/17/21 20:48:11:509 receive resize message from 1, and new height is 291.
(P4748-T3648)Debug( 906): 04/17/21 20:48:12:567 Receive inactive message.
(P4748-T3648)Debug(1132): 04/17/21 20:48:12:695 Display the main panel when user click the tray icon.
(P4748-T3648)Debug(3268): 04/17/21 20:48:12:704 Show the main panel.
(P4748-T3648)Debug( 906): 04/17/21 20:48:13:027 Receive inactive message.
(P4748-T3648)Debug( 506): 04/17/21 20:48:13:030 CPanSAMLDlg::HideViewImpl - view is visible now. the page:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
<meta name="robots" content="none" />
<title>Parsons - Bad Request</title>
<link rel="stylesheet" type="text/css" href="/assets/css/sections/errors-v2.css">
</head>
<body>
<div class="login-bg-image" style="background-image: url('https://ok11static.oktacdn.com/fs/bco/7/fs0n3c2tqlgHSJHmN4x6')"></div>
<div class="widget">
<div class="container">
<div class="header">
<img alt="Parsons" src="https://ok11static.oktacdn.com/fs/bco/1/fs0mfwb44U5Qy3p2T4x6" class="org-logo">
</div>
<div class="illustration">
<!-- Show HTTP error code if exists -->
<div class="error-code">400</div>
<!-- Show generic error image if not -->
</div>
<div class="content">
<h2 class="o-form-title">Bad Request</h2>
<p class="o-form-explain">Your request resulted in an error. Bad SAML request</p>
<a href="/" class="button">Go to Homepage</a>
</div>
</div>
</div>
</body>
</html>Environment
- パロアルトfirewall.
- グローバル保護 (GP ) ポータル/ゲートウェイが構成されています。
- を使用した認証LDAP、OKTAとCAC(共通アクセスカード)。
- パロアルト エージェントのバージョン: 任意
Cause
- Idp (ID プロバイダー) は、すべてを含むように構成されました。ADのグループメンバーSAML主張。
- すべてのメンバーが含まれていると、文字列が大きくなりすぎて、エラー 400表示されます。
Resolution
この問題は、Palo Alto デバイスとは関係ありません (Firewall )。 解決するには、次のことを試してください
- Idp を再構成し、AD寄せられたグループSAMLアサーション
- 必須を含めるようにしてくださいVPNすべてのメンバーの代わりにグループ メンバーADグループ。