如何解决 CAS 令牌大小错误“身份验证失败。 已超出 CAS （SAML） 令牌”

• Windows 计算机的令牌大小限制为 2048 字节。
• 如果 CAS 令牌超过此限制，则会显示错误消息，并且 Windows 将不会处理此令牌。
• 令牌大小必须设置为低于此值 2048 字节
• 本文提供了有关如何通过可能的解决方法识别此问题的步骤。

• Prisma Access 移动用户
• 云身份引擎
• 云认证服务
• 全球保护 6.0+
• 全景 10.1+
• Windows 10

遵循先决条件：

1. 确保 SAML 身份验证的默认浏览器设置为“yes” GUI：网络>GlobalProtect >Portals> “PORTALCONFIG”> Agent > “AGENTCONFIG”
   > App

2. 确保使用 DEFAULTBROWSER=“yes” msi 开关预部署了 Globalprotect 代理本身。

• 完整命令：msiexec.exe -i <GlobalProtectMSIFileName> DEFAULTBROWSER=“yes”
• 请参阅有关使用 GlobalProtect 的 msiexec 安装程序部署应用设置的 文档：

3. 在 GlobalProtect 代理上启用转储级别日志记录
4. 在浏览器上启用开发人员工具，然后导航到“网络”选项卡以创建 har 文件。 有关如何为不同浏览器创建 har 文件的文档：

5. 重新创建问题后，保存 har 文件并导航到 https://toolbox.googleapps.com/apps/har_analyzer/
6. 识别您的令牌，CAS 令牌将在 https://<portalname>.gpcloudservice.com/SAML20/SP/ACS 中找到。

• 在上面的示例中，您可以在左侧看到我们的 POST 方法 ACS 链接，在右侧看到 Post Data 字节计数
• 屏幕截图显示了一个工作方案
• 如果发布数据计数高于 2048 字节，此时您将看到错误“身份验证失败。 已超出 CAS （SAML） 令牌“，因此无法登录 GlobalProtect。

• 由于 Windows 的令牌限制为 2048 字节，因此我们可以尝试通过从 iDP 断言消息中删除未使用或不需要的属性和声明（例如 groups、sirnames 等）来减少字节数。
• 这样做时，这可以将字节计数减少到 Windows 允许的限制范围内
• SAML 相关信息