• GlobalProtect Gateway/Portal/ Clientless VPN (einschließlich Prisma Access )
• Authentifizierung und Captive Portal
• PAN-OS Firewalls der nächsten Generation PA- (Serie und VM- Serie)
• Panorama Web-Schnittstellen.

Es gibt zwei Möglichkeiten, wie eine SAML Antwort im Browser überprüft werden kann.

Option 1: Anzeigen der Antwort auf der SAML Entwicklerkonsole des Browsers

Google Chrome

1. Drücken Sie F12, um die Entwicklerkonsole zu starten.
2. Wählen Sie die Registerkarte Netzwerk aus, und wählen Sie dann Protokoll beibehaltenaus.
   
   
    
3. Greifen Sie auf die Firewall IP zuzugreifen, die SAML Authentifizierungsanforderungen akzeptiert, und geben SAML Sie Anmeldeinformationen an.
4. Sobald die Anmeldung erfolgreich ist, suchen Sie im Bereich der Entwicklerkonsole nach einem SAMLBeitrag. Wählen Sie diese Zeile aus, und zeigen Sie dann die Registerkarte Kopfzeilen unten an. Suchen Sie nach dem SAMLResponse-Attribut, das die codierte Anforderung enthält. Stellen Sie sicher, dass das Feld "Ziel" in der SAML Antwort die ACS URL ist. Das SAMLResponse-Attribut enthält eine codierte Anforderung. Verwenden Sie einen Base64-Decoder, um die decodierte Antwort zu untersuchen.

Google Chrome - SAML DevTools Erweiterung

1. Installieren Sie SAML DevTools Extension im Chrome-Browser.
2. Öffnen Sie Entwickler-Tools und klicken Sie auf die SAML Registerkarte.
3. Zugriff, Firewall IP der die SAML Authentifizierung auslöst. Wenn Sie dazu aufgefordert werden, geben Sie SAML Anmeldeinformationen ein. Sie sollten nun SAML Anforderungen im Abschnitt "Pfad" sehen.
4. Klicken Sie auf die SAML POST Anfrage und sehen Sie sich die Antwort SAML an. Stellen Sie sicher, dass das Feld "Ziel" in der SAML Antwort die ACS URL ist.
5. Stellen Sie sicher, dass die SAML Antwort/Assertion über den Abschnitt "Signatur" (wie unten hervorgehoben) verfügt, um zu bestätigen, dass SAML die Antwort/Assertion signiert ist.

Mozilla Firefox

1. Drücken Sie F12, um die Entwicklerkonsole zu starten.
2. Klicken Sie in der oberen rechten Seite des Entwicklertools-Fensters auf Optionen (das Kleine-Zahnradsymbol),und wählen Sie persistente Protokolle aus.
   
   
    
3. Wählen Sie die Registerkarte Netzwerk aus.
4. Greifen Sie auf die Firewall IP zuzugreifen, die SAML Authentifizierungsanforderungen akzeptiert, und geben SAML Sie Anmeldeinformationen an.
5. Sobald die Anmeldung erfolgreich ist, suchen Sie nach einer POST SAML in der Tabelle. Wählen Sie diese Zeile aus. Suchen Sie im Fenster Formulardaten auf der rechten Seite nach dem SAMLResponse-Element. Stellen Sie sicher, dass das Feld "Ziel" in der SAML Antwort die ACS URL ist. Das SAMLResponse-Attribut enthält eine codierte Anforderung. Verwenden Sie einen Base64-Decoder, um die decodierte Antwort zu untersuchen.

(Alternativ können Sie das SAML Tracer-Add in Firefoxinstallieren. Dies ist ein Tool zum Anzeigen von SAML Nachrichten, die während der einmaligen Anmeldung und der einmaligen Abmeldung über den Browser gesendet werden).

Microsoft Internet Explorer

• Der Netzwerkverkehr in Internet Explorer kann mithilfe eines Drittanbietertools analysiert werden.
• Laden Sie Fiddler herunter und installieren Sie sie und erfassen Sie die Daten. Detaillierte Anweisungen finden Sie unter diesem Link.

(SAML Antwortdaten können vertrauliche Sicherheitsinformationen enthalten.Es wird empfohlen, ein auf Ihrem lokalen Computer installiertes Tool zu verwenden, um die Daten anstelle eines Online-Base64-Decoders zu dekodieren, damit keine Daten über das Internet gesendet werden).

Integrierte Option für MacOS- und Linux-Systeme zur Dekodierung von Base64-Encoded SAML Antwort:
- echo "base64encodedtext" | base64 --decode

Integrierte Option für Windows-Systeme (PowerShell):
PS C:-> [System.Text.Encoding]::UTF8. GetString([System.Convert]::FromBase64String("base64encodedtext"))
 

Option 2: SAML Anzeigen der Antwort auf der Browserseite
 

1. Wechseln Sie zum firewall und geben Sie den folgenden Befehl aus. Geben Sie die IP Adresse an, die firewall SAML Authentifizierungsanforderungen neben "ip-hostname" akzeptiert. In diesem Beispiel wurde saml-url für den GlobalProtect Client generiert. Sie können saml-url auch für Captive Portal- und Admin-WebUI-Clients generieren, indem Sie SAML den Befehl "generate-saml-url" verwenden.

   • admin@9.2-New-CFW> test generate-saml-url global-protect ip-hostname <ip-address:port> authprofile SAML-Onelogin vsys vsys1

     https://10.46.42.154:443/SAML20/ SP / TEST ?vsys=vsys1&authprofile= SAML- Onelogin
2. Kopieren Sie die oben genannten URL und fügen Sie es in Ihrem Browser und geben Sie SAML Anmeldeinformationen. Sie sehen dann SAML die Antwort auf der Browserseite. A SAML Antwort oder Assertion mit dem Feld "SignedInfo" gibt an, dass die SAML Antwort signiert ist.