Cómo solucionar el error de tamaño del token de CAS "Error de autenticación. Se ha superado el token CAS (SAML)"

Cómo solucionar el error de tamaño del token de CAS "Error de autenticación. Se ha superado el token CAS (SAML)"

14366
Created On 08/17/22 23:09 PM - Last Modified 02/02/24 06:02 AM


Objective


  • Las máquinas Windows tienen un límite establecido de 2048 bytes de tamaño para el token.
  • Si el token CAS supera este límite, se muestra un mensaje de error y Windows no procesará este token.
  • El tamaño del token debe establecerse por debajo de este valor de 2048 bytes
  • En el artículo se proporcionan pasos sobre cómo identificar este problema con posibles soluciones alternativas.

Environment


  • Usuarios móviles de Prisma Access
  • Motor de identidad en la nube
  • Servicio de autenticación en la nube
  • GlobalProtect 6.0+
  • Panorama 10.1+
  • Windows 10

Procedure


Siga los requisitos previos:

  1. Asegúrese de que el navegador predeterminado para la autenticación SAML esté configurado en "yes" GUI: Network >GlobalProtect >Portals> "PORTALCONFIG"> Agent > "AGENTCONFIG"
    > App

Image.png
  1. Asegúrese de que el agente de Globalprotect esté implementado previamente con el modificador msi DEFAULTBROWSER="yes".
  • Comando completo: msiexec.exe -i <GlobalProtectMSIFileName> DEFAULTBROWSER="yes"
  • Consulte la documentación sobre la implementación de la configuración de la aplicación con el instalador msiexec para GlobalProtect:
  1. Habilitar el registro de nivel de volcado en el agente de GlobalProtect
  2. Habilite las herramientas de desarrollo en su navegador y navegue hasta la pestaña Red para crear un archivo har. Consulte la documentación sobre cómo crear un archivo har para diferentes navegadores:

Image.png
  1. Una vez que se haya vuelto a crear el problema, guarde el archivo har y navegue hasta https://toolbox.googleapps.com/apps/har_analyzer/
  2. Identifique su token, el token CAS se puede encontrar en https://<portalname>.gpcloudservice.com/SAML20/SP/ACS
Image.png
  • En el ejemplo anterior, puede ver el enlace ACS de nuestro método POST a la izquierda y el recuento de bytes de datos de publicación a la derecha
  • La captura de pantalla muestra un escenario de trabajo
  • Si el recuento de datos posteriores es superior a 2048 bytes, es entonces cuando verá el error "error de autenticación". Se ha superado el token CAS (SAML)" y, por lo tanto, no podrá iniciar sesión en GlobalProtect.
 

Additional Information


  • Dado que Windows tiene este límite establecido de 2048 bytes para tokens, podemos intentar disminuir el número de bytes eliminando atributos y notificaciones no utilizados o innecesarios del mensaje de aserción iDP, por ejemplo, grupos, nombres de sirenas, etc.
  • Al hacerlo, esto podría reducir el recuento de bytes para estar dentro de los límites de lo que Windows puede permitir
  • Información sobre SAML
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrELCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language