Conectarse antes de que SAML la autenticación de inicio de sesión se atasque durante la redirección a otra página de inicio de sesión para MFA
16269
Created On 02/09/22 22:47 PM - Last Modified 02/11/22 19:41 PM
Symptom
- Conectarse antes de que SAML la autenticación de inicio de sesión se quede atascada en el escenario cuando la autenticación se redirige a otra página de inicio de sesión para MFA
- Podemos ver los siguientes registros bajo el registro de nivel de volcado del GlobalProtect cliente
PanPlapProvider.log
(P4960-T5364)Dump ( 269): 02/09/22 05:28:09:168 Failed to get attribute value 'TrustedIdpDomains' <<<<<<<<<<<<<<<<<<<<<<<<<<<< (P4960-T5364)Debug( 71): 02/09/22 05:28:09:168 PanSAMLView: open url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE (P4960-T5364)Debug( 337): 02/09/22 05:28:09:168 PanSAMLView::OnBeforeNavigate2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 342): 02/09/22 05:28:10:376 PanSAMLView::OnNavigateComplete2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 108): 02/09/22 05:28:10:922 PanSAMLView: OnDocumentComplete, url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 193): 02/09/22 05:28:12:282 PanSamlDlg: display saml page to user (P4960-T5364)Debug( 337): 02/09/22 05:28:34:804 PanSAMLView::OnBeforeNavigate2: Block https://adfs.xyz.com/adfs/ls/?client-request-id=be730489-b2ad-4335-84b0-9a295b0f5783&username=test%40abcd.com&wa=wsignin1.0..<<<<<<<<
Environment
- GlobalProtect Versión de la aplicación 5.2.9/5.2.10
- Función Conectar antes de iniciar sesión
- SAML autenticación con MFA
Cause
- Esto se debe a la mejora de la seguridad realizada con la función Conectar antes de iniciar sesión, donde la IDP página que navegó a un dominio que no es de confianza, la solicitud se bloqueará. Esto evitará el riesgo desconocido del dominio cruzado
Resolution
- En caso de que se utilice más de un IDP dominio, como uno de login y otro para MFA, podemos añadir otros dominios al siguiente registro para permitir esos dominios
- Ruta: Equipo\HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\CBL
- Tipo: Reg_SZ
- Nombre del valor: TrustedIdpDomains
- Datos de valor: adfs.xyz.com (el valor está separado por comas para varios nombres de dominio)