Cómo resolver solicitudes de autenticación SAML duplicadas al usar GlobalProtect con integración CIE en PAN-OS 10.1 y versiones anteriores

Este artículo analiza cómo resolver las solicitudes de autenticación doble al utilizar Globalprotect y CIE para la autenticación SAML.

• Cortafuegos de Palo Alto
• PAN-OS 10.1 o inferior
• Protección global
• Motor de identidad en la nube (CIE)
• Autenticación SAML

Para resolver el problema, debe generar/aceptar las cookies de cancelar de autenticación tanto en el Portal como en el Gateway completando los siguientes pasos:

1. Vaya a Redes > GlobalProtect > Portales > [Seleccionar portal] > Agente > [Seleccionar configuración del agente] > Anulación de autenticación: seleccione Generar y Aceptar.
2. Vaya a Redes > GlobalProtect > Puertas de enlace > [Seleccionar puerta de enlace] > Agente > Configuración del cliente > [Seleccionar configuración del cliente] > Anulación de autenticación: seleccione Generar y Aceptar.
3. Es posible que la conexión inicial aún solicite al usuario dos veces, sin embargo, esto no debería ocurrir una vez que el host GP recibe la cookie de autenticación.

• Este problema se produce debido a que el Portal presenta al Gateway una cookie de cancelar de autenticación vacía que borra la cookie no vacía existente.
• Tenga en cuenta que en PAN-OS 10.2 hemos introducido un demonio diferente que no experimenta el problema.