Comment supprimer la notification du navigateur Web « Ouvrir GlobalProtect? » lors de l’authentification avec GlobalProtect via SAML
16936
Created On 11/25/22 14:06 PM - Last Modified 04/17/24 19:00 PM
Objective
- Les navigateurs Web comme Google Chrome, Microsoft Edge et d’autres déclenchent une notification après une authentification réussie SAML
- Lorsque la notification est présentée, elle nécessite l'attention manuelle de l'utilisateur final pour terminer la GlobalProtect connexion
- L’article explique comment modifier le Registre Windows pour supprimer la notification et fournir une expérience utilisateur d’authentification transparente SAML
Environment
- Pare-feu Palo Alto
- Soutenu PAN-OS
- GlobalProtect Portail et passerelle avec SAML authentification
- GlobalProtect app sur les clients Windows
Procedure
- Ouvrez le registre Windows (tapez « regedit » à l’invite de commande Windows)
- Allez dans : Ordinateur\HKEY_LOCAL_MACHINE\\Policies\Google\SOFTWAREChrome
- Faites un clic droit sur « Chrome » et créez une nouvelle « Valeur de chaîne » comme suit: -
- Nom : AutoLaunchProtocolsFromOrigins
- Données de la valeur : [{"protocol »: « globalprotectcallback », « allowed_origins »: ["sslvpn.complab.local""]}] [{"protocol »: « globalprotectcallback », « allowed_origins »: ["sslvpn.complab.local »,"sslvpn-1.complab.local"]}] OR
Remarque : « sslvpn.complab.local » et « sslvpn-1.complab.local » sont les GlobalProtect noms de domaine complets du portail/passerelle utilisés dans notre exemple. Il doit être remplacé par approprié GlobalProtect FQDN (qu’il présente également sur la notification générée par le navigateur Web).Le caractère générique peut également être utilisé avec les données de valeur : [{"protocol »: « globalprotectcallback », « allowed_origins »: ["*"]}]
- Redémarrez le navigateur Web Google Chrome et confirmez que le est appliqué avec succès (ouvrir le policy lien chrome://policy)
- Le même registre peut être appliqué pour le navigateur Web Microsoft Egde en accédant à: Ordinateur\HKEY_LOCAL_MACHINE\\Policies\Microsoft\SOFTWAREEdge
Additional Information
- Google Chrome et Microsoft Edge s’attendent à ce que les utilisateurs cliquent sur cliquez ici après une authentification de passerelle réussie lorsqu’elle SAML est activée pour le portail et la passerelle. Il s’agit d’un comportement attendu du navigateur Web
- Pour une expérience utilisateur transparente, il est recommandé d’activer le cookie de remplacement d’authentification pour GlobalProtect les utilisateurs
- Activer les paramètres de remplacement des cookies d’authentification pour le portail et la passerelle :
Note: Lorsque seul le remplacement Accepter le cookie pour l’authentification est coché sur la passerelle, à l’expiration du cookie, SAML l’authentification est demandée pour la passerelle. Les utilisateurs devraient effectuer une connexion d’actualisation pour s’authentifier auprès du portail afin de générer un nouveau cookie de remplacement d’authentification
Remarque : Lorsque l’option Générer un cookie pour le remplacement de l’authentification et l’option Accepter le cookie pour l’authentification sont cochées à la fois sur la passerelle pour l’expiration du cookie, SAML l’authentification est demandée pour la passerelle. Une fois l’authentification de passerelle réussie, un nouveau cookie de remplacement d’authentification serait généré. Priorité à l’authentification La durée de vie du cookie peut être définie sur une valeur inférieure, disons 5 minutes, de sorte que les connexions suivantes au portail et à la passerelle présentent un seul onglet de navigateur Web.
- La notification apparaît uniquement sur les navigateurs par défaut du système
- Dans ce cas, GlobalProtect le paramètre Utiliser le navigateur par défaut pour SAML l'authentification du portail Appest défini sur Oui
- Dans le cas d’un navigateur intégré (Utiliser le navigateur par défaut pour SAML l’authentification GlobalProtect est défini sur Non), la notification ne sera pas présentée