当同时使用 SAML 和证书认证时,Iphone 或 Ipad 上的 GlobalProtect 应用程序无法连接。

当同时使用 SAML 和证书认证时,Iphone 或 Ipad 上的 GlobalProtect 应用程序无法连接。

8203
Created On 08/31/23 00:28 AM - Last Modified 01/07/25 02:34 AM


Symptom


  • IOS(iPhone 或 iPad)上的 GlobalProtect (GP) 客户端应用程序抛出错误消息“互联网连接似乎处于离线状态”。
  • 连接方法设置为On-Demand时会发生这种情况。(仅使用 SAML 时支持的方法)
  • 在 GP Portal 上,身份验证设置为“否(需要用户凭据和客户端证书)”,这意味着需要 SAML 和证书身份验证。
  • 如果使用其中一种身份验证方法(仅 SAML 或仅证书),GPapp可以毫无问题地连接。
The Internet connection appears to be offline

Environment


  • IOS(iPhone 或 iPad)上的 GlobalProtect 客户端应用程序
  • 面向移动用户的 Prisma Access
  • Strata NGFW 上的 GlobalProtect。

Cause


  • 当 IOS 的MDM (移动设备管理)配置了标识符的app规则时,就会发生这种情况。
  • GP 支持包日志中的 Agent.log 文件显示以下内容。
onDemandEnabled = YES
    appRules = (
        {
            matchSigningIdentifier = com.paloaltonetworks.globalprotect.vpn
        },
        {
            matchSigningIdentifier = com.esri.fieldmaps
        },

Resolution


  1. 与MDM团队合作删除标识符配置。
  2. 对于 Microsoft Intune ,vpn 设置应该为无,如下所示。
Intune MDM without identifier
  1. 验证GlobalProtect 门户配置是否匹配以下条件。
  2. 启用 SAML 的默认浏览器& 连接方法 =“按需”
  3. GP 客户端app由合格的MDM管理。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgIzCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language