ログオン SAML 認証が別のサインイン ページへのリダイレクト中に停止する前に接続します。 MFA
16267
Created On 02/09/22 22:47 PM - Last Modified 02/11/22 19:41 PM
Symptom
- ログオン認証が別のサインイン ページにリダイレクトされているときに、ログオン SAML 認証がステージに残る前に接続します。 MFA
- クライアントダンプレベルログの下に以下のログを GlobalProtect 見ることができます
パンラッププロバイダー.log
(P4960-T5364)Dump ( 269): 02/09/22 05:28:09:168 Failed to get attribute value 'TrustedIdpDomains' <<<<<<<<<<<<<<<<<<<<<<<<<<<< (P4960-T5364)Debug( 71): 02/09/22 05:28:09:168 PanSAMLView: open url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE (P4960-T5364)Debug( 337): 02/09/22 05:28:09:168 PanSAMLView::OnBeforeNavigate2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 342): 02/09/22 05:28:10:376 PanSAMLView::OnNavigateComplete2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 108): 02/09/22 05:28:10:922 PanSAMLView: OnDocumentComplete, url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 193): 02/09/22 05:28:12:282 PanSamlDlg: display saml page to user (P4960-T5364)Debug( 337): 02/09/22 05:28:34:804 PanSAMLView::OnBeforeNavigate2: Block https://adfs.xyz.com/adfs/ls/?client-request-id=be730489-b2ad-4335-84b0-9a295b0f5783&username=test%40abcd.com&wa=wsignin1.0..<<<<<<<<
Environment
- GlobalProtect アプリケーションバージョン 5.2.9/5.2.10
- ログオン前に接続機能
- SAML 認証 MFA
Cause
- これは、信頼されていないドメインに移動したページが IDP ブロックされる [ログオン前に接続] 機能でセキュリティが強化されたためです。 これにより、クロスドメインからの未知のリスクを防ぐことができます。
Resolution
- ログインの IDP 1 つとのログインの別のドメインなど、複数のドメインを使用する場合は、以下の MFAレジストリに他のドメインを追加して、それらのドメインを許可します。
- パス: コンピュータ\HKEY_LOCAL_MACHINE\SOFTWAREパロアルトネットワーク\GlobalProtect\CBL
- 種類: Reg_SZ
- 値名: 信頼できるIdpドメイン
- 値データ: adfs.xyz.com (値は複数のドメイン名でカンマ区切り)