错误消息：尝试登录 Global Protect 代理时出现错误 400

• Windows 更新后发现的问题。 它影响了多台 Windows 机器。
• 当机器启动时，用户第一次尝试登录到全局保护将失败，并显示错误消息“错误 400”。
• 如果用户退出GP代理并再次重新午餐，GP代理将自动进行身份验证和连接，而无需用户输入凭据。

(P4748-T3648)Debug(1379): 04/17/21 20:48:11:449 User cancel current action, turn to disconnected.
(P4748-T3648)Debug( 410): 04/17/21 20:48:11:450 Portal is not connected and hide the gateway list.
(P4748-T3648)Debug(3372): 04/17/21 20:48:11:450 Change dialog status to not connected.
(P4748-T3648)Debug(1254): 04/17/21 20:48:11:476 Found more than one connections, return empty.
(P4748-T3648)Debug(2310): 04/17/21 20:48:11:502 receive resize message from 1, and new height is 243.
(P4748-T3648)Debug(2310): 04/17/21 20:48:11:509 receive resize message from 1, and new height is 291.
(P4748-T3648)Debug( 906): 04/17/21 20:48:12:567 Receive inactive message.
(P4748-T3648)Debug(1132): 04/17/21 20:48:12:695 Display the main panel when user click the tray icon.
(P4748-T3648)Debug(3268): 04/17/21 20:48:12:704 Show the main panel.
(P4748-T3648)Debug( 906): 04/17/21 20:48:13:027 Receive inactive message.
(P4748-T3648)Debug( 506): 04/17/21 20:48:13:030 CPanSAMLDlg::HideViewImpl - view is visible now. the page:
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <meta name="robots" content="none" />

    <title>Parsons - Bad Request</title>

    <link rel="stylesheet" type="text/css" href="/assets/css/sections/errors-v2.css">
</head>
<body>
    <div class="login-bg-image" style="background-image: url('https://ok11static.oktacdn.com/fs/bco/7/fs0n3c2tqlgHSJHmN4x6')"></div>
    <div class="widget">
        <div class="container">
            <div class="header">
                <img alt="Parsons" src="https://ok11static.oktacdn.com/fs/bco/1/fs0mfwb44U5Qy3p2T4x6" class="org-logo">
            </div>
            <div class="illustration">
                <!-- Show HTTP error code if exists -->
                <div class="error-code">400</div>
                <!-- Show generic error image if not  -->
            </div>
            <div class="content">
                <h2 class="o-form-title">Bad Request</h2>
                <p class="o-form-explain">Your request resulted in an error. Bad SAML request</p>
                <a href="/" class="button">Go to Homepage</a>

            </div>
        </div>
    </div>
</body>
</html>

• 帕洛阿尔托firewall.
• 全球保护（GP ) 门户/网关已配置。
• 身份验证使用LDAP,OKTA和CAC（通用访问卡）。
• 帕洛阿尔托代理版本：任何

• Idp（身份提供者）配置为包括所有AD组成员在SAML断言。
• 当包含所有成员时，会导致字符串过大，从而导致错误 400被显示。

1. 重新配置Idp并过滤数量AD团体派遣SAML断言
2. 确保包括所需的VPN组成员而不是所有的所有成员AD团体。