La aplicación GlobalProtect en iPhone o iPad no puede conectarse cuando se utiliza la autenticación SAML y de certificado .

• La aplicación cliente GlobalProtect (GP) en iOS (iPhone o iPad) muestra un mensaje de error " La conexión a Internet parece estar fuera de línea ".
• Esto sucede cuando el método de conexión se establece en On-Demand (único método compatible cuando se usa SAML).
• En GP Portal, la autenticación está configurada en "No (se requieren credenciales de usuario y certificado de cliente)", lo que significa que se requiere autenticación tanto de SAML como de certificado.
• La aplicación GP puede conectarse sin problemas si se utiliza uno de los métodos de autenticación (solo SAML o solo certificado).

• Aplicación de cliente GlobalProtect en iOS (iPhone o iPad)
• Prisma Access para usuarios móviles
• GlobalProtect en Strata NGFW.

• Esto sucede cuando el MDM (Mobile Device Management) para IOS está configurado con una regla de aplicación para un identificador.
• El archivo Agent.log en los registros del paquete de soporte de GP muestra lo siguiente.

onDemandEnabled = YES
    appRules = (
        {
            matchSigningIdentifier = com.paloaltonetworks.globalprotect.vpn
        },
        {
            matchSigningIdentifier = com.esri.fieldmaps
        },

1. Trabaje con el equipo de MDM para eliminar la configuración del identificador.
2. Para Microsoft Intune , la configuración de VPN debe ser ninguna, como se muestra a continuación.

3. Valide si la configuración del Portal de GlobalProtect coincidente con las siguientes condiciones.
4. explorador predeterminado para SAML habilitado y método de conexión = 'A pedido' .
5. La aplicación cliente GP está administrada por un MDMcalificado .