GlobalProtect 客户端在使用嵌入式浏览器进行 SAML 时无法连接到身份提供商 (IdP)
8253
Created On 03/26/24 00:58 AM - Last Modified 01/29/25 03:49 AM
Symptom
- GlobalProtect 客户端配置为使用嵌入式浏览器的 SAML 进行身份验证。
- 客户端计算机上的本地网络没有阻止任何东西,但 GP 仍然间歇性无法连接。
- 发生故障的原因是嵌入式浏览器无法访问 SAML 身份提供商 (IdP),并引发浏览器错误,例如“无法访问此页面”或“您的互联网访问已被阻止”
- 如果用户切换到使用默认浏览器进行 SAML,则不会出现此问题。
- 当用户不断重试多次后,连接最终能够正常工作。
Environment
- GlobalProtect (GP) 应用程序
- 使用嵌入式浏览器进行 SAML 身份验证。
- 版本 6.0.8、6.1.4、6.2.2 或以下。
Cause
这是由使用 TLS1.3 时 SAML 身份验证消息流中客户端的已知问题引起的。
Resolution
- 使用默认浏览器进行 SAML时不会出现此问题。这可以视为一种解决方案/解决方法。
- 另一种解决方法是在客户端计算机上手动禁用TLS 1.3。请联系相应的操作系统供应商以确定如何操作。
Additional Information
- 该问题已在客户端版本 6.0.10、6.1.5、6.2.3 的GPC-19745下修复。
- 升级到更高版本的修复版本将解决该问题。