如何解决全局保护客户端未连接时使用代理时提示 SAML 首次连接的身份验证
4657
Created On 02/09/21 06:04 AM - Last Modified 04/11/25 19:17 PM
Environment
首次在 Windows 客户端上安装的全局保护客户端。 客户端正在其默认浏览器中使用代理文件。
GP 客户端 5.2.x 或更高版本。 Prisma Access 或 On prem Global Protect Gateway and Portal。
全局保护门户 app 配置的" 使用默认浏览器旋钮 "设置为"是"。
PanGPS 日志显示以下错误。
saml-auth-error is Failed to connect to authentication server. Retry after some time or contact your IT help desk to resolve the issue.
这里的问题是客户端无法解析IDP(SAML Identity Provider) 地址,并且尚未启用默认浏览器注册表,这意味着它不会使用在浏览器中配置的代理文件进行连接。
注意: - 如果客户端使用单个代理服务器IP/而不是使用PAC文件,FQDN则上述连接是预期的工作。 仅在使用 PAC 文件时才观察到上述错误。
默认浏览器启用可以通过HKEY_LOCAL_MACHINE\\Palo Alto Networks\SOFTWARE\GlobalProtectSettings 中的注册表项进行验证。
Additional Information
注意:- 门户 app 配置仍应启用默认浏览器。 如果不是,客户端将在连接到门户并下载配置时删除注册表。
如果无法使用单个代理服务器并且无法更改注册表值,则另一种解决方法是在本地系统上添加 DNS 条目 IDP URL 或转发器。