Comment configurer l’authentification transparente pour les appareils iOS à l’aide de la méthode de connexion Always-On?
11911
Created On 10/11/22 00:54 AM - Last Modified 01/31/23 00:22 AM
Objective
Lorsque la méthode de connexion permanente est déployée pour les appareils iOS, l’authentification transparente ne peut réussir qu’avec une authentification basée sur des certificats.Lorsqu’un appareil iOS est verrouillé, l’accès au magasin de certificats est bloqué. Si GlobalProtect est configuré avec la méthode de connexion permanente et qu’il existe une méthode d’authentification secondaire qui nécessite une interaction de l’utilisateur, telle que SAML, le GlobalProtect périphérique iOS restera bloqué dans un état de connexion.
Cet article fournit des instructions sur la configuration de l’authentification basée sur les certificats pour les appareils iOS.
Environment
- Pare-feu sur site
- Panorama Géré Prisma Access
- GlobalProtect app Version 5.2 et supérieure
- Méthode de connexion toujours active
- iOS version 15 et supérieure
Procedure
- Dans un environnement comportant plusieurs systèmes clients OS , la séparation des options d’authentification au sein GlobalProtect du portail ou de la passerelle est nécessaire
- Cela peut être configuré en accédant aux chemins suivants pour le portail et la passerelle
- Sur site firewall
- Authentification de l’agent > > GlobalProtect des portails réseau > <portal-config> > > <agent-config> >
- Authentification des passerelles > > GlobalProtect réseau > <gateway-config> >
- Panorama Géré Prisma Access
- Portails > > GlobalProtect réseau > <portal-config> > Authentification sous le modèle « Mobile_User_Template »
- Passerelles > > GlobalProtect réseau > <gateway-config> > Authentification sous le modèle « Mobile_User_Template »
- Sur site firewall
- Afin de forcer uniquement l’authentification basée sur les certificats pour les appareils iOS (veuillez vous référer à ce lien pour cette configuration), la configuration des captures d’écran ci-dessous pour le portail et la passerelle est recommandée
- Lorsqu’il n’y a pas d’entrée pour un spécifié OS (iOS dans ce cas) ou un OS, l’authentification basée sur les certificats serait le seul mode d’authentification.
Panorama
Additional Information
- SAML l’authentification n’est pas prise en charge pour les appareils iOS utilisant la méthode de connexion Always-On (veuillez vous référer à ce lien pour plus de détails)
- Pour utiliser le profil d’authentification avec l’authentification basée sur les certificats pour les appareils iOS à l’aide de la méthode de connexion permanente, d’autres types d’authentification tels que LDAP, Radius, TACACS+, etc. peuvent être utilisés