SAML Single-Sign-On fehlgeschlagen
47756
Created On 04/01/21 19:06 PM - Last Modified 09/28/21 02:56 AM
Symptom
- Benutzer können sich nicht mit Single Sign On ( ) bei firewall / panorama SSO anmelden.
- Die Fehlermeldung wird wie folgt empfangen.
SSO Response Status
Status: Failed
SAML single-sign-on failedEnvironment
- Jede Palo Alto Firewall oder Panorama
- Beliebig PAN-OS .
- Single Signon mit Okta konfiguriert.
Cause
- Aus Authentifizierungsprotokollen (authd.log) weist der relevante Teil des protokolls unten auf das Problem hin:
.... username: entered "john_doe@abc.com" != returned "John_Doe@abc.com" from IdP "http://www.okta.com/xxxx" -> reject SAML auth due to security concerns
.... Error: _handle_request(pan_authd_saml.c:2102): occurs in _parse_sso_response()
Sent PAN_AUTH_FAILURE SAML response:(authd_id: 6923201339409303840) (SAML err code "2" means SSO failed) (return username 'John_Doe@abc.com')
- Beim bei der Assertion verwendeten SAML Username-Wert wird zwischen Groß- und Kleinschreibung unterschieden.
- In diesem Fall muss der Kunde dasselbe Format verwenden, das im SAML NameID-Attribut eingegeben wurde.
- Fehlercode 2 - " SAML Validierung (IdP weiß nicht, wie die Anforderung wie konfiguriert verarbeitet werden soll") " falsche # oder unsignierte Aussteller als Antwort oder ein falsches nameID-Format angegeben.Diese Informationen finden Sie unter diesem Link: SSO Setup-Anleitungen: Anmeldefehlercodes nach SSO Typ
Resolution
- Schritt 1 - Überprüfen Sie, welches Benutzernamenformat auf der Seite erwartet SP wird.
- Schritt 2 - Überprüfen Sie, welchen Benutzernamen Okta in der Assertion sendet.
"Sie können überprüfen, welchen Benutzernamen die Okta-Anwendung sendet, indem Sie zur Registerkarte "Aufgaben" der Anwendung navigieren und auf das Stiftsymbol neben einem betroffenen Benutzer klicken. Dadurch wird der Benutzername angezeigt, der in der Assertion gesendet wird, und muss mit dem Benutzernamen auf der SP Seite übereinstimmen."
Hinweis:Diese Informationen stammen von der OKTA Support-Seite.