Comment résoudre l’erreur de taille de jeton CAS « Échec de l’authentification. Le jeton CAS (SAML) a été dépassé »

Comment résoudre l’erreur de taille de jeton CAS « Échec de l’authentification. Le jeton CAS (SAML) a été dépassé »

14308
Created On 08/17/22 23:09 PM - Last Modified 02/02/24 06:08 AM


Objective


  • Les machines Windows ont une limite de taille d’octets définie de 2048 octets pour le jeton.
  • Si le jeton CAS dépasse cette limite, un message d’erreur s’affiche et Windows ne traitera pas ce jeton.
  • La taille du jeton doit être inférieure à cette valeur de 2048 octets
  • L’article fournit des étapes sur la façon d’identifier ce problème avec des solutions de contournement possibles.

Environment


  • Utilisateurs mobiles de Prisma Access
  • Moteur d’identité cloud
  • Service d’authentification dans le cloud
  • GlobalProtect 6.0+
  • Panorama 10.1+
  • Windows 10

Procedure


Respectez les conditions préalables :

  1. Assurez-vous que le navigateur par défaut pour l’authentification SAML est défini sur « yes » Interface graphique : Réseau >GlobalProtect >Portals> « PORTALCONFIG » > Agent > « AGENTCONFIG »
    > App

image.png
  1. Assurez-vous que l’agent Globalprotect lui-même est prédéployé avec le commutateur msi DEFAULTBROWSER="yes ».
  • Commande complète : msiexec.exe -i <GlobalProtectMSIFileName> DEFAULTBROWSER="yes »
  • Reportez-vous à la documentation sur le déploiement des paramètres de l’application avec le programme d’installation de msiexec pour GlobalProtect :
  1. Activer la journalisation au niveau de vidage sur l’agent GlobalProtect
  2. Activez les outils de développement sur votre navigateur et accédez à l’onglet Réseau pour créer un fichier har. Reportez-vous à la documentation sur la création d’un fichier har pour différents navigateurs :

image.png
  1. Une fois le problème recréé, enregistrez le fichier har et accédez à https://toolbox.googleapps.com/apps/har_analyzer/
  2. Identifiez votre jeton, le jeton CAS se trouvera dans https://<nom_portail>.gpcloudservice.com/SAML20/SP/ACS
image.png
  • Dans l’exemple ci-dessus, vous pouvez voir le lien ACS de notre méthode POST sur la gauche et le nombre d’octets Post Data sur la droite
  • La capture d’écran affiche un scénario de travail
  • Si le nombre de données de publication est supérieur à 2048 octets, c’est à ce moment-là que vous verrez l’erreur « échec de l’authentification. CAS (SAML) a été dépassé » et ne peut donc pas se connecter à GlobalProtect.
 

Additional Information


  • Étant donné que Windows a cette limite de 2048 octets pour les jetons, nous pouvons tenter de réduire le nombre d’octets en supprimant les attributs et les revendications inutilisés ou inutiles du message d’assertion iDP, par exemple les groupes, les sirnames, etc.
  • Ce faisant, cela pourrait réduire le nombre d’octets dans les limites de ce que Windows peut autoriser
  • Informations sur SAML
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrELCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language