如何禁止 Web 浏览器通知“打开GlobalProtect?”进行身份验证时GlobalProtect通过 SAML
16928
Created On 11/25/22 14:06 PM - Last Modified 04/17/24 19:00 PM
Objective
- 成功后,Google Chrome、Microsoft Edge 等 Web 浏览器会触发通知SAML验证
- 呈现通知时,需要最终用户手动注意才能完成GlobalProtect联系
- 本文介绍了如何修改 Windows 注册表以抑制通知并提供无缝SAML认证用户体验
Environment
- 帕洛阿尔托防火墙
- 支持的 PAN-OS
- GlobalProtect 门户和网关SAML验证
- GlobalProtect app 在 Windows 客户端上
Procedure
- 打开 Windows 注册表(键入“注册表" 在 Windows 命令提示符下)
- 去 :计算机\HKEY_LOCAL_MACHINE\SOFTWARE \政策\谷歌\Chrome
- 右键单击“Chrome”并创建新的“字符串值”,如下所示:-
- 姓名: AutoLaunchProtocolsFromOrigins
- 数值数据: [{“协议”:“globalprotectcallback”,“allowed_origins”:[“sslvpn.complab.local”]}]OR [{“协议”:“globalprotectcallback”,“allowed_origins”:[“sslvpn.complab.local”,“sslvpn-1.complab.local”]}]
笔记:“sslvpn.complab.local”和“sslvpn-1.complab.local”是GlobalProtect我们示例中使用的门户/网关 FQDN。 它应该被替换为适当的GlobalProtectFQDN(它也出现在网络浏览器生成的通知中)。通配符也可以与值数据一起使用: [{“协议”:“globalprotectcallback”,“allowed_origins”:[“*”]}]
- 重新启动 Google Chrome 网络浏览器并确认policy申请成功(打开链接铬合金://policy )
- 通过转到以下位置,可以为 Microsoft Egde Web 浏览器应用相同的注册表:计算机\HKEY_LOCAL_MACHINE\SOFTWARE \政策\微软\边缘
Additional Information
- Google Chrome 和 Microsoft Edge 希望用户点击点击这里网关认证成功后SAML为门户和网关启用。 这是预期的 Web 浏览器行为
- 为了获得无缝的用户体验,建议启用身份验证覆盖 cookieGlobalProtect用户
- 为门户和网关启用身份验证覆盖 cookie 设置:
笔记:当网关只有接受用于身份验证覆盖的 cookie检查,cookie 过期后,SAML将提示对网关进行身份验证。 用户必须执行刷新连接以对门户进行身份验证以生成新的身份验证覆盖 cookie
注意:当网关同时具有生成用于身份验证覆盖的 cookie和接受用于身份验证覆盖的 cookie检查,cookie 过期后,SAML将提示对网关进行身份验证。 网关身份验证成功后,将生成一个新的身份验证覆盖 cookie。 身份验证覆盖Cookie 生命周期可以设置为较低的值,例如 5 分钟,以便后续门户和网关连接显示单个 Web 浏览器选项卡。
- 通知仅出现在系统的默认浏览器上
- 在这种情况下,GlobalProtect门户网站App的设置使用默认浏览器SAML验证被设定为是的
- 的情况下GlobalProtect嵌入式浏览器(使用默认浏览器SAML验证被设定为不), 通知将不会被呈现