¿Cómo suprimir la notificación del navegador web "Abrir GlobalProtect?" al autenticarse con GlobalProtect via SAML
16932
Created On 11/25/22 14:06 PM - Last Modified 04/17/24 19:00 PM
Objective
- Los navegadores web como Google Chrome, Microsoft Edge y otros activan una notificación después de una autenticación exitosa SAML
- Cuando se presenta la notificación, requiere la atención manual del usuario final para completar la GlobalProtect conexión.
- En el artículo se describe cómo modificar el Registro de Windows para suprimir la notificación y proporcionar una experiencia de usuario de autenticación sin SAML problemas
Environment
- Palo Alto Firewalls
- Apoyado PAN-OS
- GlobalProtect Portal y puerta de enlace con SAML autenticación
- GlobalProtect app en clientes Windows
Procedure
- Abra el registro de Windows (escriba "regedit" en el símbolo del sistema de Windows)
- Ve a : Equipo\HKEY_LOCAL_MACHINE\\Políticas\Google\SOFTWAREChrome
- Haga clic derecho en "Chrome" y cree un nuevo "Valor de cadena" de la siguiente manera:
- Nombre: AutoLaunchProtocolsFromOrigins
- Datos del valor: [{"protocol": "globalprotectcallback", "allowed_origins": ["sslvpn.complab.local""]}] [{"protocol": "globalprotectcallback", "allowed_origins": ["sslvpn.complab.local","sslvpn-1.complab.local"]}] OR
Nota: "sslvpn.complab.local" y "sslvpn-1.complab.local" son los GlobalProtect FQDN del portal/puerta de enlace utilizados en nuestro ejemplo. Debe ser reemplazado por adecuado GlobalProtect FQDN (que también esté presente en la notificación generada por el navegador web).El comodín también se puede usar con datos del valor: [{"protocol": "globalprotectcallback", "allowed_origins": ["*"]}]
- Reinicie el navegador web Google Chrome y confirme que se policy ha aplicado correctamente (abrir enlace chrome://policy)
- El mismo registro se puede aplicar para el navegador web Microsoft Egde yendo a: Equipo\HKEY_LOCAL_MACHINE\\Directivas\Microsoft\SOFTWAREEdge
Additional Information
- Google Chrome y Microsoft Edge esperan que los usuarios hagan clic en hacer clic aquí después de una autenticación de puerta de enlace exitosa cuando SAML esté habilitada tanto para el portal como para la puerta de enlace. Este es un comportamiento esperado del navegador web
- Para una experiencia de usuario perfecta, se recomienda habilitar la cookie de anulación de autenticación para GlobalProtect los usuarios
- Habilite la configuración de cookies de anulación de autenticación para el portal y la puerta de enlace:
Nota: Cuando la puerta de enlace solo tiene marcada la opción Aceptar cookie para anulación de autenticación, al expirar la cookie, SAML se solicitará la autenticación para la puerta de enlace. Los usuarios tendrían que realizar una conexión de actualización para autenticarse en el portal para generar una nueva cookie de anulación de autenticación
Nota: Cuando la puerta de enlace tiene marcada la opción Generar cookie para anulación de autenticación y Aceptar cookie para anulación de autenticación, al caducar la cookie, SAML se solicitará la autenticación para la puerta de enlace. Después de una autenticación de puerta de enlace exitosa, se generará una nueva cookie de anulación de autenticación. Anulación de autenticación La duración de las cookies se puede establecer en un valor inferior, digamos 5 minutos, de modo que las conexiones posteriores del portal y la puerta de enlace presenten una sola pestaña del navegador web.
- La notificación solo aparece en los navegadores predeterminados del sistema
- En ese caso, GlobalProtect la configuración de Portal AppUsar explorador predeterminado para SAML la autenticación se establece en Sí
- En el caso del GlobalProtect navegador incrustado (Usar navegador predeterminado para SAML la autenticación está establecido en No), la notificación no se presentará