So lösen Sie doppelte SAML-Authentifizierungsaufforderungen bei der Verwendung von GlobalProtect mit CIE-Integration auf PAN-OS 10.1 und darunter

In diesem Artikel wird erläutert, wie Sie die doppelten Authentifizierungsaufforderungen bei der Verwendung von Globalprotect und CIE für die SAML-Authentifizierung beheben.

• Palo Alto Firewalls
• PAN-OS 10.1 oder niedriger
• GlobalProtect
• Cloud Identity Engine (CIE)
• SAML-Authentifizierung

Um das Problem zu beheben, müssen Sie die Authentifizierungs- außer Kraft setzen/Außerkraftsetzung -Cookies sowohl auf dem Portal als auch auf dem Gateway generieren/akzeptieren, indem Sie die folgenden Schritte ausführen:

1. Navigieren Sie zu Netzwerke > GlobalProtect > Portale > [Portal auswählen] > Agent > [Agentenkonfiguration auswählen] > Authentifizierungsüberschreibung: Wählen Sie sowohl „Generieren“ als auch „Akzeptieren“ aus.
2. Navigieren Sie zu Netzwerke > GlobalProtect > Gateways > [Gateway auswählen] > Agent > Clienteinstellungen > [Clientkonfiguration auswählen] > Authentifizierungsüberschreibung: Wählen Sie sowohl „Generieren“ als auch „Akzeptieren“ aus.
3. Bei der ersten Verbindung wird der Benutzer möglicherweise noch zweimal aufgefordert, dies sollte jedoch nicht mehr vorkommen, sobald das Authentifizierungscookie vom GP-Host empfangen wurde.

• Dieses Problem tritt auf, weil das Portal dem Gateway ein leeres Cookie zur außer Kraft setzen/Außerkraftsetzung präsentiert, wodurch das vorhandene, nicht leere Cookie gelöscht wird.
• Bitte beachten Sie, dass wir in PAN-OS 10.2 einen anderen Daemon eingeführt haben, bei dem das Problem nicht auftritt.