Der GlobalProtect-Client kann bei Verwendung des eingebetteten Browser für SAML keine Verbindung zum Identitätsanbieter (IdP) herstellen
8233
Created On 03/26/24 00:58 AM - Last Modified 01/29/25 03:49 AM
Symptom
- Der GlobalProtect-Client ist für die Authentifizierung per SAML mit eingebettetem Browser konfiguriert.
- Das lokale Netzwerk auf dem Client-Rechner blockiert nichts, aber die Verbindung zum GP schlägt trotzdem zeitweise fehl.
- Der Fehler tritt auf, weil der eingebettete Browser den SAML-Identitätsanbieter (IdP) nicht erreichen kann und Browser wie „Diese Seite kann nicht erreicht werden“ oder „Ihr Internetzugang ist blockiert“ ausgibt.
- Das Problem tritt nicht auf, wenn der Benutzer auf die Verwendung des Browser für SAML umstellt.
- Erst wenn der Benutzer es mehrere Male erneut versucht, funktioniert die Verbindung schließlich.
Environment
- GlobalProtect (GP) App
- SAML-Authentifizierung mit eingebettetem Browser.
- Version 6.0.8, 6.1.4, 6.2.2 oder niedriger.
Cause
Die Ursache hierfür ist ein bekanntes Problem mit dem Client während des Nachrichtenflusses zur SAML-Authentifizierung bei Verwendung von TLS1.3.
Resolution
- Das Problem tritt nicht auf, wenn der Browser für SAML verwendet wird. Dies kann als Lösung/ Workaround betrachtet werden.
- Eine weitere Workaround besteht darin, TLS 1.3 auf dem Client-Rechner manuell zu deaktivieren. Wenden Sie sich an den jeweiligen Betriebssystemanbieter, um herauszufinden, wie das geht.
Additional Information
- Das Problem wurde unter GPC-19745 ab Clientversion 6.0.10, 6.1.5, 6.2.3 behoben.
- Ein Upgrade auf die korrigierten Versionen von später wird das Problem beheben.