Herstellen einer Verbindung, bevor die Anmeldeauthentifizierung während der Umleitung zu einer anderen SAML Anmeldeseite für MFA
16251
Created On 02/09/22 22:47 PM - Last Modified 02/11/22 19:41 PM
Symptom
- Herstellen einer Verbindung, bevor die Anmeldeauthentifizierung SAML auf der Bühne hängen bleibt, wenn die Authentifizierung an eine andere Anmeldeseite umgeleitet wird für MFA
- Wir können die folgenden Protokolle unter dem GlobalProtect Client-Dump-Level-Protokoll sehen
PanPlapProvider.log
(P4960-T5364)Dump ( 269): 02/09/22 05:28:09:168 Failed to get attribute value 'TrustedIdpDomains' <<<<<<<<<<<<<<<<<<<<<<<<<<<< (P4960-T5364)Debug( 71): 02/09/22 05:28:09:168 PanSAMLView: open url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE (P4960-T5364)Debug( 337): 02/09/22 05:28:09:168 PanSAMLView::OnBeforeNavigate2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 342): 02/09/22 05:28:10:376 PanSAMLView::OnNavigateComplete2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 108): 02/09/22 05:28:10:922 PanSAMLView: OnDocumentComplete, url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 193): 02/09/22 05:28:12:282 PanSamlDlg: display saml page to user (P4960-T5364)Debug( 337): 02/09/22 05:28:34:804 PanSAMLView::OnBeforeNavigate2: Block https://adfs.xyz.com/adfs/ls/?client-request-id=be730489-b2ad-4335-84b0-9a295b0f5783&username=test%40abcd.com&wa=wsignin1.0..<<<<<<<<
Environment
- GlobalProtect Anwendungsversion 5.2.9/5.2.10
- Funktion "Vor der Anmeldung verbinden"
- SAML Authentifizierung mit MFA
Cause
- Dies ist auf eine Sicherheitsverbesserung zurückzuführen, die mit der Funktion "Vor anmeldung verbinden" vorgenommen wurde, bei der die IDP Seite, die zu einer nicht vertrauenswürdigen Domäne navigiert hat, die Anforderung blockiert wird. Dadurch wird ein unbekanntes Risiko aus dem domänenübergreifenden Bereich verhindert.
Resolution
- Falls Sie IDP mehr als eine Domain verwenden, z. B. eine von Login und eine andere für MFA, können wir andere Domains zur folgenden Registry hinzufügen, um diese Domains zu ermöglichen
- Pfad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\CBL
- Typ: Reg_SZ
- Wertname: TrustedIdpDomains
- Wertdaten: adfs.xyz.com (Der Wert ist für mehrere Domänennamen durch Kommas getrennt)