Comment résoudre les invites d'authentification SAML doubles lors de l'utilisation de GlobalProtect avec l'intégration CIE sur PAN-OS 10.1 et versions antérieures

Cet article explique comment résoudre les invites d’authentification double lors de l’utilisation de Globalprotect et CIE pour l’authentification SAML.

• Pare-feu de Palo Alto
• PAN-OS 10.1 ou inférieur
• GlobalProtect
• Moteur d'identité cloud (CIE)
• Authentification SAML

Pour résoudre le problème, vous devez générer/accepter les cookies de remplacer d'authentification sur le portail et la passerelle en procédant comme suit :

1. Accédez à Réseaux > GlobalProtect > Portails > [Sélectionner le portail] > Agent > [Sélectionner la configuration de l'agent] > Remplacement de l'authentification : sélectionnez à la fois Générer et Accepter.
2. Accédez à Réseaux > GlobalProtect > Passerelles > [Sélectionner la passerelle] > Agent > Paramètres client > [Sélectionner la configuration client] > Remplacement de l'authentification : sélectionnez à la fois Générer et Accepter.
3. La connexion initiale peut toujours demander à l' utilisateur deux fois, cependant, cela ne devrait pas se produire une fois que le cookie d'authentification est reçu par l'hôte GP.

• Ce problème se produit lorsque le portail présente à la passerelle un cookie de remplacer d'authentification vide qui efface le cookie non vide existant.
• Veuillez noter que dans PAN-OS 10.2, nous avons introduit un démon différent qui ne rencontre pas le problème.