¿Cuál es el comportamiento esperado de la función "Cerrar sesión" iniciada por el administrador en el firewall local o en los usuarios de Prisma Access GlobalProtect administrados por Panorama?

¿Cuál es el comportamiento esperado de una función de "cierre de sesión" iniciada por el administrador en el firewall local o en los usuarios de Prisma Access GlobalProtect administrados por Panorama, y cómo afecta esto a la anulación de autenticación y las cookies SAML?

• Panorama gestionado Prisma Access
• Firewalls locales de Palo Alto
• Versiones compatibles de PAN-OS
• Aplicación GlobalProtect

1. La función de cierre de sesión iniciada por un administrador en el firewall local o en Prisma Access administrado por Panorama; desconecta principalmente el túnel GlobalProtect.
2. Al finalizar el túnel, las cookies de anulación de autenticación o las cookies del navegador SAML no se borran.
3. Si el inicio de sesión único (SSO) o las credenciales de usuario guardadas están habilitadas o si las cookies del navegador SAML están presentes (en el caso de la autenticación SAML), se muestra el siguiente comportamiento:
   1. Para los usuarios siempre activos, GlobalProtect (GP) intentará volver a conectarse después de unos segundos y realizar una restauración del túnel. No se solicita ningún nombre de usuario o contraseña durante este proceso. Sin embargo, la restauración del túnel está destinada a fallar, lo que lleva a GP a iniciar el descubrimiento de la red.
   2. Para los usuarios bajo demanda, GP solo se volverá a conectar (desde el inicio de sesión del portal) cuando el usuario presione manualmente el botón de conexión.
4. Si la configuración de autenticación anterior no está habilitada o las cookies del navegador SAML no están presentes en el navegador, se le pedirá al usuario de GP que ingrese manualmente las credenciales.
5. En conclusión, el cierre de sesión iniciado por el administrador desconecta el túnel pero mantiene la funcionalidad de las cookies de autenticación, lo que solo afecta el proceso de reconexión dependiendo de si la configuración del usuario utiliza el método de conexión siempre activo o bajo demanda.