在登录 SAML 身份验证在重定向到 的另一个登录页面期间卡住之前进行连接 MFA
16263
Created On 02/09/22 22:47 PM - Last Modified 02/11/22 19:41 PM
Symptom
- 在登录 SAML 身份验证卡在身份验证被重定向到的另一个登录页面的舞台上之前进行连接 MFA
- 我们可以在客户端转储级别日志下 GlobalProtect 看到以下日志
PanPlapProvider.log
(P4960-T5364)Dump ( 269): 02/09/22 05:28:09:168 Failed to get attribute value 'TrustedIdpDomains' <<<<<<<<<<<<<<<<<<<<<<<<<<<< (P4960-T5364)Debug( 71): 02/09/22 05:28:09:168 PanSAMLView: open url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE (P4960-T5364)Debug( 337): 02/09/22 05:28:09:168 PanSAMLView::OnBeforeNavigate2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 342): 02/09/22 05:28:10:376 PanSAMLView::OnNavigateComplete2: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 108): 02/09/22 05:28:10:922 PanSAMLView: OnDocumentComplete, url: https://login.microsoftonline.com/67b039ac-f578-42c6-9b5b-aa1b5bb0388f/saml2?SAMLRequest=jZFRa4MwFIX%2FiuRdE6NWDVVw7cMKHZPq9rCXE... (P4960-T5364)Debug( 193): 02/09/22 05:28:12:282 PanSamlDlg: display saml page to user (P4960-T5364)Debug( 337): 02/09/22 05:28:34:804 PanSAMLView::OnBeforeNavigate2: Block https://adfs.xyz.com/adfs/ls/?client-request-id=be730489-b2ad-4335-84b0-9a295b0f5783&username=test%40abcd.com&wa=wsignin1.0..<<<<<<<<
Environment
- GlobalProtect 应用程序版本 5.2.9/5.2.10
- 登录前连接功能
- SAML 身份验证 MFA
Cause
- 这是由于使用"登录前连接"功能进行的安全增强,其中 IDP 导航到不受信任的域的页面将被阻止请求。 这将防止来自跨域的未知风险
Resolution
- 如果 IDP 使用多个域,例如登录名和另一个 MFA域,我们可以将其他域添加到下面的注册表中以允许这些域
- 路径:计算机\HKEY_LOCAL_MACHINE\SOFTWARE帕洛阿尔托网络\GlobalProtect\CBL
- 类型: Reg_SZ
- 值名称: 受信任的 Idp域
- 数值数据:adfs.xyz.com (多个域名的值以逗号分隔)