Quel est le comportement attendu de la fonction « Déconnexion » initiée par l’administrateur sur les utilisateurs du pare-feu sur site ou de Prisma Access GlobalProtect géré par Panorama ?

Quel est le comportement attendu d’une fonction de « déconnexion » initiée par l’administrateur sur les utilisateurs de pare-feu sur site ou de Prisma Access GlobalProtect géré par Panorama, et quel impact cela affecte-t-il le remplacement de l’authentification et les cookies SAML ?

• Panorama géré Prisma Access
• Pare-feu Palo Alto sur site
• Versions PAN-OS prises en charge
• Application GlobalProtect

1. La fonction de déconnexion initiée par un administrateur dans un pare-feu sur site ou Panorama géré Prisma Access ; déconnecte principalement le tunnel GlobalProtect.
2. À la fin du tunnel, les cookies de remplacement d’authentification ou les cookies de navigateur SAML ne sont pas effacés.
3. Si l’authentification unique (SSO) ou les informations d’identification de l’utilisateur enregistré sont activées ou si des cookies de navigateur SAML sont présents (en cas d’authentification SAML), le comportement suivant est affiché :
   1. Pour les utilisateurs Always-On, GlobalProtect (GP) tentera de se reconnecter après quelques secondes et effectuera une restauration du tunnel. Aucun nom d’utilisateur ou mot de passe n’est demandé au cours de ce processus. Cependant, la restauration du tunnel est vouée à l’échec, ce qui conduit GP à lancer la découverte du réseau.
   2. Pour les utilisateurs à la demande, GP ne se reconnecte (à partir de la connexion au portail) que lorsque l’utilisateur appuie manuellement sur le bouton de connexion.
4. Si les paramètres d’authentification ci-dessus ne sont pas activés ou si les cookies du navigateur SAML ne sont pas présents sur le navigateur, l’utilisateur GP sera invité à entrer manuellement les informations d’identification.
5. En conclusion, la déconnexion initiée par l’administrateur déconnecte le tunnel mais conserve la fonctionnalité des cookies d’authentification, n’affectant ainsi le processus de reconnexion que selon que la configuration de l’utilisateur utilise la méthode de connexion toujours active ou à la demande.