Beheben des CAS-Tokengrößenfehlers "Authentifizierung fehlgeschlagen. CAS-Token (SAML) überschritten wurde"

Beheben des CAS-Tokengrößenfehlers "Authentifizierung fehlgeschlagen. CAS-Token (SAML) überschritten wurde"

14308
Created On 08/17/22 23:09 PM - Last Modified 02/02/24 06:02 AM


Objective


  • Windows-Computer haben ein festgelegtes Limit von 2048 Byte Größenbeschränkung für Token.
  • Wenn das CAS-Token diesen Grenzwert überschreitet, wird eine Fehlermeldung angezeigt, und Windows verarbeitet dieses Token nicht.
  • Die Tokengröße muss niedriger als dieser Wert von 2048 Byte festgelegt werden
  • Der Artikel enthält Schritte zum Identifizieren dieses Problems mit möglichen Problemumgehungen.

Environment


  • Prisma Access Mobile Benutzer
  • Cloud Identity Engine
  • Cloud-Authentifizierungsdienst
  • GlobalProtect 6.0+
  • Panorama 10.1+
  • Windows 10

Procedure


Befolgen Sie die Voraussetzungen:

  1. Stellen Sie sicher, dass der Standardbrowser für die SAML-Authentifizierung auf "yes" eingestellt ist. GUI: Netzwerk >GlobalProtect >Portale> "PORTALCONFIG"> Agent > "AGENTCONFIG"
    > App

Bild.png
  1. Stellen Sie sicher, dass der Globalprotect-Agent selbst mit dem MSI-Schalter DEFAULTBROWSER="yes" vorinstalliert ist.
  • Vollständiger Befehl: msiexec.exe -i <GlobalProtectMSIFileName> DEFAULTBROWSER="yes"
  • Weitere Informationen finden Sie in der Dokumentation zum Bereitstellen von App-Einstellungen mit dem msiexec-Installationsprogramm für GlobalProtect:
  1. Aktivieren der Dump-Level-Protokollierung auf dem GlobalProtect-Agent
  2. Aktivieren Sie die Entwicklertools in Ihrem Browser und navigieren Sie zur Registerkarte Netzwerk, um eine HAR-Datei zu erstellen. In der Dokumentation erfahren Sie, wie Sie eine HAR-Datei für verschiedene Browser erstellen:

Bild.png
  1. Nachdem das Problem neu erstellt wurde, speichern Sie die har-Datei und navigieren Sie zu https://toolbox.googleapps.com/apps/har_analyzer/
  2. Identifizieren Sie Ihr Token, das CAS-Token finden Sie unter https://<Portalname>.gpcloudservice.com/SAML20/SP/ACS
Bild.png
  • Im obigen Beispiel sehen Sie auf der linken Seite den ACS-Link der POST-Methode und auf der rechten Seite die Anzahl der Post-Datenbytes
  • Der Screenshot zeigt ein Arbeitsszenario
  • Wenn die Anzahl der Beitragsdaten über 2048 Byte liegt, wird der Fehler "Authentifizierung fehlgeschlagen. CAS (SAML)-Token überschritten wurde" und somit nicht in der Lage sind, sich bei GlobalProtect anzumelden.
 

Additional Information


  • Da Windows dieses festgelegte Limit von 2048 Byte für Token hat, können wir versuchen, die Anzahl der Bytes zu verringern, indem wir ungenutzte oder nicht benötigte Attribute und Ansprüche aus der iDP-Assertionsnachricht entfernen, z. B. Gruppen, Sirnames usw.
  • Auf diese Weise könnte die Byteanzahl reduziert werden, um innerhalb der Grenzen dessen zu liegen, was Windows zulassen kann
  • Informationen zu SAML
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrELCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language