L'authentification par cookie fonctionne sur le portail GP, mais la passerelle GP demande les informations d'identification de utilisateur

• L'authentification par cookie pour Global Protect Gateway ne fonctionne pas
• SSO est activée (utilisez l'authentification unique sur l'agent du portail GP)
• SAML est utilisé pour l'authentification Global Protect
• Le portail et la passerelle GP sont configurés pour générer et accepter les cookies
• SAML renvoie un format d'attribut de nom d'utilisateur différent du format de nom d'utilisateur SSO
• GlobalProtect est configuré pour enregistrer le nom d'utilisateur et le mot de passe ou enregistrer uniquement le nom d'utilisateur
• Un cookie valide pour le format d'attribut SAML existe dans le dossier GlobalProtect de la machine utilisateur
• Selon les journaux de connexion au portail PanGPS, le nom d'utilisateur enregistré (attribut de nom d'utilisateur SAML) est utilisé pour l'authentification par cookie :
• :691 ----Démarrage de la connexion au portail----
  :691 m_szSavedUserName est
  :691 Le nom du fichier cookie d'authentification de utilisateur du portail est C:\Users\ \AppData\Local\ Palo Alto Networks\GlobalProtect\PanPUAC_XXXX.dat
• Selon les journaux de pré-connexion de la passerelle PanGPS, SSO est utilisée pour l'authentification par cookie et ne parvient pas à ouvrir un fichier de cookie inexistant :
• :322 SSO est activé. Utilisation des informations d'identification SSO pour connexion à la passerelle. :322 Le nom du fichier cookie d'authentification de utilisateur du portail est C:\Users\ \AppData\Local\ Palo Alto Networks\GlobalProtect\PanPUAC_YYYYYY.dat :323 Échec de l'ouverture du fichier C:\Users\ \AppData\Local\ Palo Alto Networks\GlobalProtect\PanPUAC_YYYYYY.dat

• Accès Prisma
• SSO
• Authentification SAML
• Remplacement de l'authentification par cookies

• Le portail GlobalProtect utilise le format de nom d'utilisateur enregistré pour trouver le cookie.
• GlobalProtect Gateway utilise le format SSO .
• Le cookie n'existe que pour le format de nom d'utilisateur enregistré. SSO est activé par par défaut.

1. Désactiver SSO. Pour cela :
2. Accédez à Réseau > GlobalProtect > Portails > > Agent > > Application
3. Sélectionnez Non pour utiliser l'authentification unique (Windows)
4. Sélectionnez également « Non » pour utiliser l’authentification unique (macOS)
5. Engagez-vous et poussez.

Remarque : si l'authentification SAML est utilisée, l'option GP SSO doit être désactivée, que SAML soit considéré ou non comme une solution Single Sign-On (ouverture de session unique - SSO)
GlobalProtect ne peut pas renseigner les informations d'identification de utilisateur dans un formulaire Web ( navigateur par défaut et navigateur intégré) présenté par IdP.

17 octobre 24 (Vijay) - Article mis à jour avec Praveen et publié en externe.