Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
SAML error de inicio de sesión único - Knowledge Base - Palo Alto Networks

SAML error de inicio de sesión único

55714
Created On 04/01/21 19:06 PM - Last Modified 09/28/21 02:56 AM


Symptom


  • Los usuarios no pueden iniciar sesión en / mediante el firewall inicio de sesión único ( panorama SSO ).
  • El mensaje de error se recibe como sigue.
SSO Response Status
Status: Failed
SAML single-sign-on failed


              

 


Environment


  • Cualquier Palo Alto Firewall o Panorama
  • Cualquier PAN-OS archivo .
  • Inicio de sesión único configurado con Okta.


Cause


  • De los registros de autenticación (authd.log), la parte relevante del registro abajo indica el problema:
.... username: entered "john_doe@abc.com" != returned "John_Doe@abc.com" from IdP "http://www.okta.com/xxxx" -> reject SAML auth due to security concerns 
.... Error: _handle_request(pan_authd_saml.c:2102): occurs in _parse_sso_response()
     Sent PAN_AUTH_FAILURE SAML response:(authd_id: 6923201339409303840) (SAML err code "2" means SSO failed) (return username 'John_Doe@abc.com')
     
 
  • El valor de nombre de usuario utilizado en SAML la aserción distingue entre mayúsculas y minúsculas.
  • En este caso, el cliente debe utilizar el mismo formato que se escribió en el SAML atributo NameID.
  • Código de error 2 - " SAML Validación (IdP no sabe cómo procesar la solicitud tal como está configurada") " emisores incorrectos # o sin firmar en respuesta o un formato nameID incorrecto especificado.Esta información se encontró en este enlace: SSO Guías de configuración: Códigos de error de inicio de sesión por SSO tipo


Resolution


  1. Paso 1 - Verifique qué formato de nombre de usuario se espera en el SP lado.
  2. Paso 2 - Verifique qué nombre de usuario okta está enviando en la aserción.
"Puede verificar qué nombre de usuario está enviando la aplicación Okta navegando a la pestaña "Asignaciones" de la aplicación y haciendo clic en el icono del lápiz junto a un usuario afectado. Esto mostrará el nombre de usuario que se envía en la aserción y deberá coincidir con el nombre de usuario en el SP lateral".

Nota:Esta información se toma de la OKTA página de soporte.


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V2YCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language