So unterdrücken Sie die Webbrowser-Benachrichtigung "Öffnen GlobalProtect?" bei der Authentifizierung mit GlobalProtect via SAML
16934
Created On 11/25/22 14:06 PM - Last Modified 04/17/24 19:00 PM
Objective
- Webbrowser wie Google Chrome, Microsoft Edge und andere lösen nach erfolgreicher SAML Authentifizierung eine Benachrichtigung aus
- Wenn die Benachrichtigung angezeigt wird, ist die manuelle Aufmerksamkeit des Endbenutzers erforderlich, um die GlobalProtect Verbindung herzustellen
- In diesem Artikel wird beschrieben, wie Sie die Windows-Registrierung ändern, um die Benachrichtigung zu unterdrücken und eine nahtlose SAML Authentifizierung zu ermöglichen
Environment
- Palo Alto Firewalls
- Unterstützt PAN-OS
- GlobalProtect Portal und Gateway mit SAML Authentifizierung
- GlobalProtect app auf Windows-Clients
Procedure
- Öffnen Sie die Windows-Registrierung (geben Sie "regedit" an der Windows-Eingabeaufforderung ein)
- Gehe zu: Computer\HKEY_LOCAL_MACHINE\\Richtlinien\Google\SOFTWAREChrome
- Klicken Sie mit der rechten Maustaste auf "Chrome" und erstellen Sie einen neuen "String-Wert" wie folgt:
- Name: AutoLaunchProtocolsFromOrigins
- Wertdaten: [{"protocol": "globalprotectcallback", "allowed_origins": ["sslvpn.complab.local""]}] [{"protocol": "globalprotectcallback", "allowed_origins": ["sslvpn.complab.local","sslvpn-1.complab.local"]}] OR
Hinweis: "sslvpn.complab.local" und "sslvpn-1.complab.local" sind die Portal/Gateway-FQDNs, die GlobalProtect in unserem Beispiel verwendet werden. Es sollte durch das richtige GlobalProtect FQDN ersetzt werden (dass es auch in der vom Webbrowser generierten Benachrichtigung vorhanden ist).Platzhalter kann auch mit Wertdaten verwendet werden: [{"protocol": "globalprotectcallback", "allowed_origins": ["*"]}]
- Starten Sie den Google Chrome-Webbrowser neu und bestätigen Sie, dass der policy erfolgreich angewendet wurde (Link öffnen chrome://policy)
- Dieselbe Registrierung kann für den Microsoft Egde-Webbrowser angewendet werden, indem Sie zu folgenden Aufrufen gehen: Computer\HKEY_LOCAL_MACHINE\\Richtlinien\Microsoft\SOFTWAREEdge
Additional Information
- Google Chrome und Microsoft Edge erwarten, dass Benutzer nach erfolgreicher Gateway-Authentifizierung auf "Hier klicken" klicken, wenn SAML sie sowohl für das Portal als auch für das Gateway aktiviert sind. Dies ist ein erwartetes Webbrowser-Verhalten
- Für eine nahtlose Benutzererfahrung wird empfohlen, das Authentifizierungsüberschreibungscookie für GlobalProtect Benutzer zu aktivieren
- Aktivieren Sie die Cookie-Einstellungen für die Authentifizierungsüberschreibung für Portal und Gateway:
Anmerkung: Wenn für das Gateway nur das Kontrollkästchen "Cookie für Authentifizierungsüberschreibung akzeptieren" aktiviert ist, wird nach Ablauf SAML des Cookies die Authentifizierung für das Gateway aufgefordert. Benutzer müssten eine Aktualisierungsverbindung durchführen, um sich beim Portal zu authentifizieren und ein neues Cookie zum Überschreiben der Authentifizierung zu generieren
Hinweis: Wenn für das Gateway sowohl Cookie für Authentifizierungsüberschreibung generieren als auch Cookie für Authentifizierungsüberschreibung akzeptieren aktiviert ist, wird nach Ablauf SAML des Cookies die Authentifizierung für Gateway aufgefordert. Nach erfolgreicher Gateway-Authentifizierung wird ein neues Authentifizierungsüberschreibungscookie generiert. Die Cookie-Lebensdauer kann auf einen niedrigeren Wert festgelegt werden, z. B. 5 Minuten, sodass die nachfolgenden Portal- und Gateway-Verbindungen eine einzelne Webbrowser-Registerkarte anzeigen.
- Die Benachrichtigung wird nur in den Standardbrowsern des Systems angezeigt
- In diesem Fall ist die Einstellung "Standardbrowser für SAML Authentifizierung verwenden" des Portals Appauf " GlobalProtect Ja" festgelegt
- Im Falle eines eingebetteten Browsers GlobalProtect (Standardbrowser für SAML Authentifizierung verwenden ist auf Nein eingestellt) wird die Benachrichtigung nicht angezeigt