La fonction de déconnexion unique (SLO) de GlobalProtect ne fonctionne pas par intermittence
Symptom
La fonction de déconnexion unique (SLO) de GlobalProtect fonctionne parfois et parfois non.
Environment
- Protection globale
- Utilisateurs de Prisma Access Mobile
- Authentification SAML
Cause
Le GPGW ne crée pas de SLO lorsque l'authentification de la passerelle se fait avec un cookie. C'est le comportement attendu. Étant donné que le GPGW ne traite pas la requête/ réponse SAML lors de la connexion, il n'y a aucune information pour effectuer un SLO.
Lors du filtrage du journal GlobalProtect avec '( stage eq 'connected' ) ou ( stage eq 'logout' )', cela indique quand l' utilisateur se connecte à GPGW avec SAML ou Cookie.
Resolution
Si le SLO est l'exigence absolue du client, désactivez le remplacer du cookie d'authentification. Cela oblige les utilisateurs de GlobalProtect à faire face à l'authentification SAML, qui est effectuée deux fois pour le portail et la passerelle à chaque fois qu'ils se connectent à GlobalProtect.