Cookie 身份验证在 GP门户上运行,但 GP 网关提示输入用户凭据

Cookie 身份验证在 GP门户上运行,但 GP 网关提示输入用户凭据

12756
Created On 08/02/24 13:22 PM - Last Modified 01/03/25 16:17 PM


Symptom


  • Global Protect Gateway 的 Cookie 身份验证不起作用
  • SSO已启用(在 GP Portal 代理上使用单点登录)
  • SAML 用于 Global Protect 身份验证
  • GP门户和网关配置为生成和接受 cookie
  • SAML 返回的用户名属性格式与SSO用户名格式不同
  • GlobalProtect 配置为保存用户名和密码或仅保存用户名
  • 用户计算机 GlobalProtect 文件夹中存在 SAML 属性格式的有效 cookie
  • 根据 PanGPS 门户登录日志,保存的用户名(SAML 用户名属性)用于 cookie 身份验证:
  • :691 ----门户登录开始----
    :691 m_szSavedUserName 是
    :691 门户用户身份验证 cookie 文件名为 C:\Users\ \AppData\Local\Palo Alto Networks\GlobalProtect\PanPUAC_XXXX.dat
  • 根据 PanGPS 网关登录前日志, SSO用于 cookie 身份验证,但无法打开不存在的 cookie 文件:
  • :322 SSO已启用。使用SSO凭证登录网关。:322 门户用户身份验证 cookie 文件名为 C:\Users\ \AppData\Local\ Palo Alto Networks\GlobalProtect\PanPUAC_YYYYYY.dat :​​323 无法打开文件 C:\Users\ \应用程序数据\本地\Palo Alto Networks\GlobalProtect\PanPUAC_YYYYYY.dat

Environment


  • Prisma 访问
  • SSO
  • SAML 身份验证
  • Cookies 身份验证覆盖

Cause


  • GlobalProtect 门户正在使用已保存的用户名格式来查找 cookie。
  • GlobalProtect Gateway 使用SSO格式。
  • 该 cookie 仅针对已保存的用户名格式而存在。默认下启用SSO 。

Resolution


  1. 禁用SSO。具体操作如下:
  2. 转至网络> GlobalProtect >门户> >代理商> >应用程序
  3. 选择“使用单点登录 (Windows)”“否”
  4. 另外,对于使用单点登录 (macOS),请选择
  5. 提交并推动。

注意:如果使用 SAML 身份验证,则应禁用 GP SSO选项,无论 SAML 是否被视为single sign-on(单点登录-SSO)解决方案
GlobalProtect 无法在 IdP 提供的 Web 表单(默认浏览器和嵌入式浏览器)中填充用户凭据。

24 年 10 月 17 日(Vijay)——文章由 Praveen 更新并对外发布。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDnvCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language