Was ist das erwartete Verhalten der vom Administrator initiierten "Logout"-Funktion bei Benutzern der lokalen Firewall oder Panorama Managed Prisma Access GlobalProtect?

Was ist das erwartete Verhalten einer vom Administrator initiierten "Logout"-Funktion auf lokalen Firewall- oder Panorama-verwalteten Prisma Access GlobalProtect-Benutzern, und wie wirkt sich dies auf die Authentifizierungsüberschreibung und SAML-Cookies aus?

• Panorama managed Prisma Access
• Lokale Palo Alto-Firewalls
• Unterstützte PAN-OS-Versionen
• GlobalProtect App

1. Die Abmeldefunktion, die von einem Administrator in der lokalen Firewall oder dem von Panorama verwalteten Prisma Access initiiert wurde; Trennt in erster Linie den GlobalProtect-Tunnel.
2. Beim Beenden des Tunnels werden Authentifizierungsüberschreibungscookies oder SAML-Browser-Cookies nicht gelöscht.
3. Wenn Single Sign-On (SSO) oder gespeicherte Benutzeranmeldeinformationen aktiviert sind oder wenn SAML-Browser-Cookies vorhanden sind (im Falle einer SAML-Authentifizierung), wird das folgende Verhalten angezeigt:
   1. Bei Always-On-Benutzern versucht GlobalProtect (GP) nach einigen Sekunden, die Verbindung wiederherzustellen und eine Tunnelwiederherstellung durchzuführen. Während dieses Vorgangs wird kein Benutzername oder Kennwort abgefragt. Die Wiederherstellung des Tunnels wird jedoch zwangsläufig fehlschlagen, was GP dazu veranlasst, die Netzwerkerkennung einzuleiten.
   2. Bei On-Demand-Benutzern stellt GP die Verbindung (über die Portalanmeldung) nur dann wieder her, wenn der Benutzer manuell auf die Schaltfläche "Verbinden" klickt.
4. Wenn die oben genannten Authentifizierungseinstellungen nicht aktiviert sind oder keine SAML-Browser-Cookies im Browser vorhanden sind, wird der GP-Benutzer aufgefordert, die Anmeldeinformationen manuell einzugeben.
5. Zusammenfassend lässt sich sagen, dass die vom Administrator initiierte Abmeldung den Tunnel trennt, aber die Funktionalität der Authentifizierungscookies beibehält und sich somit nur auf den Wiederverbindungsprozess auswirkt, je nachdem, ob das Benutzer-Setup die Always-On- oder On-Demand-Verbindungsmethode verwendet.