SAML error de inicio de sesión único
47764
Created On 04/01/21 19:06 PM - Last Modified 09/28/21 02:56 AM
Symptom
- Los usuarios no pueden iniciar sesión en / mediante el firewall inicio de sesión único ( panorama SSO ).
- El mensaje de error se recibe como sigue.
SSO Response Status
Status: Failed
SAML single-sign-on failedEnvironment
- Cualquier Palo Alto Firewall o Panorama
- Cualquier PAN-OS archivo .
- Inicio de sesión único configurado con Okta.
Cause
- De los registros de autenticación (authd.log), la parte relevante del registro abajo indica el problema:
.... username: entered "john_doe@abc.com" != returned "John_Doe@abc.com" from IdP "http://www.okta.com/xxxx" -> reject SAML auth due to security concerns
.... Error: _handle_request(pan_authd_saml.c:2102): occurs in _parse_sso_response()
Sent PAN_AUTH_FAILURE SAML response:(authd_id: 6923201339409303840) (SAML err code "2" means SSO failed) (return username 'John_Doe@abc.com')
- El valor de nombre de usuario utilizado en SAML la aserción distingue entre mayúsculas y minúsculas.
- En este caso, el cliente debe utilizar el mismo formato que se escribió en el SAML atributo NameID.
- Código de error 2 - " SAML Validación (IdP no sabe cómo procesar la solicitud tal como está configurada") " emisores incorrectos # o sin firmar en respuesta o un formato nameID incorrecto especificado.Esta información se encontró en este enlace: SSO Guías de configuración: Códigos de error de inicio de sesión por SSO tipo
Resolution
- Paso 1 - Verifique qué formato de nombre de usuario se espera en el SP lado.
- Paso 2 - Verifique qué nombre de usuario okta está enviando en la aserción.
"Puede verificar qué nombre de usuario está enviando la aplicación Okta navegando a la pestaña "Asignaciones" de la aplicación y haciendo clic en el icono del lápiz junto a un usuario afectado. Esto mostrará el nombre de usuario que se envía en la aserción y deberá coincidir con el nombre de usuario en el SP lateral".
Nota:Esta información se toma de la OKTA página de soporte.