Conectarse antes de que SAML la autenticación de inicio de sesión se atasque durante la redirección a otra página de inicio de sesión para MFA

Conectarse antes de que SAML la autenticación de inicio de sesión se atasque durante la redirección a otra página de inicio de sesión para MFA

16269
Created On 02/09/22 22:47 PM - Last Modified 02/11/22 19:41 PM


Symptom


  • Conectarse antes de que SAML la autenticación de inicio de sesión se quede atascada en el escenario cuando la autenticación se redirige a otra página de inicio de sesión para MFA
captura de pantalla para la página de redireccionamiento de autenticación
  • Podemos ver los siguientes registros bajo el registro de nivel de volcado del GlobalProtect cliente
PanPlapProvider.log
(P4960-T5364)Dump ( 269): 02/09/22 05:28:09:168 Failed to get attribute value 'TrustedIdpDomains' <<<<<<<<<<<<<<<<<<<<<<<<<<<<
(P4960-T5364)Debug(  71): 02/09/22 05:28:09:168 PanSAMLView: open url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE
(P4960-T5364)Debug( 337): 02/09/22 05:28:09:168 PanSAMLView::OnBeforeNavigate2:  https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE...
(P4960-T5364)Debug( 342): 02/09/22 05:28:10:376 PanSAMLView::OnNavigateComplete2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE...
(P4960-T5364)Debug( 108): 02/09/22 05:28:10:922 PanSAMLView: OnDocumentComplete, url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE...
(P4960-T5364)Debug( 193): 02/09/22 05:28:12:282 PanSamlDlg: display saml page to user
(P4960-T5364)Debug( 337): 02/09/22 05:28:34:804 PanSAMLView::OnBeforeNavigate2: Block https://adfs.xyz.com/adfs/ls/?client-request-id=be730489-b2ad-4335-84b0-9a295b0f5783&username=test%40abcd.com&wa=wsignin1.0..<<<<<<<<
 
 

Environment


  • GlobalProtect Versión de la aplicación 5.2.9/5.2.10
  • Función Conectar antes de iniciar sesión
  • SAML autenticación con MFA

Cause


  • Esto se debe a la mejora de la seguridad realizada con la función Conectar antes de iniciar sesión, donde la IDP página que navegó a un dominio que no es de confianza, la solicitud se bloqueará. Esto evitará el riesgo desconocido del dominio cruzado

Resolution


 
  1. En caso de que se utilice más de un IDP dominio, como uno de login y otro para MFA, podemos añadir otros dominios al siguiente registro para permitir esos dominios
  • Ruta: Equipo\HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\CBL
  • Tipo: Reg_SZ
  • Nombre del valor: TrustedIdpDomains
  • Datos de valor: adfs.xyz.com (el valor está separado por comas para varios nombres de dominio)
Captura de pantalla para la configuración del Registro
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNA4CAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language