PAN-OS 10.1 以前で GlobalProtect を CIE 統合で使用する際に二重の SAML 認証プロンプトが表示される問題を解決する方法

この記事では、SAML 認証に Globalprotect と CIE を使用しているときに発生する二重認証プロンプトを解決する方法について説明します。

• Palo Alto ファイアウォール
• PAN-OS 10.1 以下
• グローバルプロテクト
• クラウド アイデンティティ エンジン (CIE)
• SAML認証

この問題を解決するには、次の手順を実行して、ポータルとゲートウェイの両方で認証オーバーライドCookie を生成/受け入れる必要があります。

1. [ネットワーク] > [GlobalProtect] > [ポータル] > [ポータルを選択] > [エージェント] > [エージェント構成を選択] > [認証オーバーライド] に移動し、[生成] と [承認] の両方を選択します。
2. [ネットワーク] > [GlobalProtect] > [ゲートウェイ] > [ゲートウェイを選択] > [エージェント] > [クライアント設定] > [クライアント構成を選択] > [認証オーバーライド] に移動し、[生成] と [承認] の両方を選択します。
3. 最初の接続ではユーザーに 2 回プロンプトが表示される場合がありますが、GP ホストが認証 Cookie を受信すると、これは発生しなくなります。

• この問題は、ポータルがゲートウェイに空の認証オーバーライドCookie を提示し、既存の空でない Cookie をクリアすることが原因で発生します。
• PAN-OS 10.2 では、この問題が発生しない別のデーモンが導入されていることに注意してください。