CAS トークン サイズ エラーのトラブルシューティング方法 "認証に失敗しました。 CAS (SAML) トークンを超えました。

• Windows マシンには、トークンのサイズ制限が 2048 バイトに設定されています。
• CAS トークンがこの制限を超えると、エラー メッセージが表示され、Windows はこのトークンを処理しません。
• トークン・サイズは、この値 (2048 バイト) より小さく設定する必要があります
• この記事では、この問題を特定する方法と、可能な回避策について説明します。

• Prisma Access Mobileユーザー
• Cloud Identity Engine
• クラウド認証サービス
• グローバルプロテクト6.0+
• パノラマ 10.1+
• ウィンドウズ10

前提条件に従ってください。

1. SAML認証のデフォルトブラウザが「yes」
   に設定されていることを確認します GUI:ネットワーク>GlobalProtect >ポータル> "PORTALCONFIG"> エージェント> "AGENTCONFIG" > App

2. Globalprotectエージェント自体がDEFAULTBROWSER="yes" msiスイッチで事前に展開されていることを確認してください。

• 完全なコマンド: msiexec.exe -i <GlobalProtectMSIFileName> DEFAULTBROWSER="yes"
• GlobalProtectのmsiexecインストーラーを使用したアプリ設定の展開に関する ドキュメントを参照してください。

3. GlobalProtectエージェントでダンプレベルのログを有効にする
4. ブラウザーで開発者ツールを有効にし、[ネットワーク] タブに移動して har ファイルを作成します。 さまざまなブラウザ用のharファイルを作成する方法については、ドキュメントを参照してください。

5. 問題が再作成されたら、har ファイルを保存し、 https://toolbox.googleapps.com/apps/har_analyzer/
6. トークンを特定すると、CASトークンは https://<portalname>.gpcloudservice.com/SAML20/SP/ACS にあります。

• 上記の例では、左側に POST メソッドの ACS リンク、右側に POST Data のバイト数が表示されています
• スクリーンショットは、作業シナリオを示しています
• Post Data の数が 2048 バイトを超えると、「authentication failed. CAS(SAML)トークンを超えているため、GlobalProtectにログインできません。

• Windowsにはトークンに2048バイトの制限が設定されているため、iDPアサーションメッセージから未使用または不要な属性とクレーム(groups、sirnamesなど)を削除することで、バイト数を減らすことができます。
• そうすることで、バイト数を Windows で許可できる制限内に減らすことができます
• SAMLに関する情報