如何在 PAN-OS 10.1 及更低版本上使用 GlobalProtect 与 CIE 集成时解决双重 SAML 身份验证提示

本文讨论如何在使用 Globalprotect 和 CIE 进行 SAML 身份验证时解决双重身份验证提示。

• Palo Alto防火墙
• PAN-OS 10.1 或更低版本
• GlobalProtect
• 云身份引擎 (CIE)
• SAML 身份验证

要解决此问题，您必须通过完成以下步骤在门户和网关上生成/接受身份验证覆盖cookie：

1. 导航到网络 > GlobalProtect > 门户 > [选择门户] > 代理 > [选择代理配置] > 身份验证覆盖：选择生成和接受。
2. 导航到网络 > GlobalProtect > 网关 > [选择网关] > 代理 > 客户端设置 > [选择客户端配置] > 身份验证覆盖：选择生成和接受。
3. 初始连接可能仍会提示用户两次，但是，一旦 GP 主机收到身份验证 cookie，就不会再发生这种情况。

• 出现此问题的原因是，门户向网关提供了一个空的身份验证覆盖cookie，从而清除了现有的非空 cookie。
• 请注意，在 PAN-OS 10.2 中，我们引入了一个不会出现此问题的不同守护进程。