Herstellen einer Verbindung, bevor die Anmeldeauthentifizierung während der Umleitung zu einer anderen SAML Anmeldeseite für MFA

Herstellen einer Verbindung, bevor die Anmeldeauthentifizierung während der Umleitung zu einer anderen SAML Anmeldeseite für MFA

16251
Created On 02/09/22 22:47 PM - Last Modified 02/11/22 19:41 PM


Symptom


  • Herstellen einer Verbindung, bevor die Anmeldeauthentifizierung SAML auf der Bühne hängen bleibt, wenn die Authentifizierung an eine andere Anmeldeseite umgeleitet wird für MFA
Screenshot für die Authentifizierungsumleitungsseite
  • Wir können die folgenden Protokolle unter dem GlobalProtect Client-Dump-Level-Protokoll sehen
PanPlapProvider.log
(P4960-T5364)Dump ( 269): 02/09/22 05:28:09:168 Failed to get attribute value 'TrustedIdpDomains' <<<<<<<<<<<<<<<<<<<<<<<<<<<<
(P4960-T5364)Debug(  71): 02/09/22 05:28:09:168 PanSAMLView: open url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE
(P4960-T5364)Debug( 337): 02/09/22 05:28:09:168 PanSAMLView::OnBeforeNavigate2:  https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE...
(P4960-T5364)Debug( 342): 02/09/22 05:28:10:376 PanSAMLView::OnNavigateComplete2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE...
(P4960-T5364)Debug( 108): 02/09/22 05:28:10:922 PanSAMLView: OnDocumentComplete, url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE...
(P4960-T5364)Debug( 193): 02/09/22 05:28:12:282 PanSamlDlg: display saml page to user
(P4960-T5364)Debug( 337): 02/09/22 05:28:34:804 PanSAMLView::OnBeforeNavigate2: Block https://adfs.xyz.com/adfs/ls/?client-request-id=be730489-b2ad-4335-84b0-9a295b0f5783&username=test%40abcd.com&wa=wsignin1.0..<<<<<<<<
 
 

Environment


  • GlobalProtect Anwendungsversion 5.2.9/5.2.10
  • Funktion "Vor der Anmeldung verbinden"
  • SAML Authentifizierung mit MFA

Cause


  • Dies ist auf eine Sicherheitsverbesserung zurückzuführen, die mit der Funktion "Vor anmeldung verbinden" vorgenommen wurde, bei der die IDP Seite, die zu einer nicht vertrauenswürdigen Domäne navigiert hat, die Anforderung blockiert wird. Dadurch wird ein unbekanntes Risiko aus dem domänenübergreifenden Bereich verhindert.

Resolution


 
  1. Falls Sie IDP mehr als eine Domain verwenden, z. B. eine von Login und eine andere für MFA, können wir andere Domains zur folgenden Registry hinzufügen, um diese Domains zu ermöglichen
  • Pfad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\CBL
  • Typ: Reg_SZ
  • Wertname: TrustedIdpDomains
  • Wertdaten: adfs.xyz.com (Der Wert ist für mehrere Domänennamen durch Kommas getrennt)
Screenshot für die Registrierungseinstellung
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNA4CAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language