GlobalProtect クライアントは、SAML 用の組み込みブラウザを使用すると ID プロバイダー (IdP) に接続できません。
8235
Created On 03/26/24 00:58 AM - Last Modified 01/29/25 03:49 AM
Symptom
- GlobalProtect クライアントは、組み込みブラウザで SAML を使用して認証するように構成されています。
- クライアント マシン上のローカル ネットワークは何もブロックしていませんが、それでも GP は断続的に接続に失敗します。
- この失敗は、組み込みブラウザがSAML アイデンティティ プロバイダ (IdP) にアクセスできず、「このページにアクセスできません」や「インターネット アクセスがブロックされています」などのブラウザエラーが表示されるために発生します。
- ユーザーがSAML のデフォルトブラウザを使用するように切り替えた場合、この問題は発生しません。
- ユーザーが何度も再試行し続けると、最終的に接続が機能します。
Environment
- GlobalProtect (GP) アプリ
- 組み込みブラウザによる SAML 認証。
- バージョン 6.0.8、6.1.4、6.2.2 以下。
Cause
これは、TLS1.3 を使用する場合の SAML 認証メッセージ フロー中のクライアントの既知の問題によって発生します。
Resolution
- SAML のデフォルトブラウザを使用している場合、この問題は発生しません。これは解決策/回避策として考えられます。
- もう 1 つの回避策は、クライアント マシンでTLS 1.3 を手動で無効にすることです。方法については、それぞれの OS ベンダーにお問い合わせください。
Additional Information
- この問題は、クライアント バージョン 6.0.10、6.1.5、6.2.3 のGPC-19745で修正されています。
- 以降の修正バージョンにアップグレードすると、問題は解決します。