SAML Echec de l’authentification unique
47762
Created On 04/01/21 19:06 PM - Last Modified 09/28/21 02:56 AM
Symptom
- Les utilisateurs ne peuvent pas se connecter au firewall / panorama à l’aide de l’authentification unique ( SSO ).
- Le message d’erreur est reçu comme suit.
SSO Response Status
Status: Failed
SAML single-sign-on failedEnvironment
- Tout Palo Alto Firewall ou Panorama
- Tout PAN-OS fichier .
- Single Signon configuré à l’aide d’Okta.
Cause
- Des logs d’authentification (authd.log), la partie appropriée du log ci-dessous indique le problème :
.... username: entered "john_doe@abc.com" != returned "John_Doe@abc.com" from IdP "http://www.okta.com/xxxx" -> reject SAML auth due to security concerns
.... Error: _handle_request(pan_authd_saml.c:2102): occurs in _parse_sso_response()
Sent PAN_AUTH_FAILURE SAML response:(authd_id: 6923201339409303840) (SAML err code "2" means SSO failed) (return username 'John_Doe@abc.com')
- La valeur de nom d’utilisateur utilisée dans SAML l’assertion est sensible à la casse.
- Dans ce cas, le client doit utiliser le même format que celui entré dans SAML l’attribut NameID.
- Code d’erreur 2 - " SAML Validation (l’IdP ne sait pas comment traiter la demande telle que configurée ») " émetteurs incorrects # ou non signés en réponse ou format nameID incorrect spécifié.Ces informations ont été trouvées dans ce lien : SSO Guides d’installation : Codes d’erreur de connexion par SSO type
Resolution
- Étape 1 - Vérifiez quel format de nom d’utilisateur est attendu sur le SP côté.
- Étape 2 - Vérifiez quel nom d’utilisateur Okta envoie dans l’assertion.
« Vous pouvez vérifier le nom d’utilisateur que l’application Okta envoie en accédant à l’onglet « Affectations » de l’application et en cliquant sur l’icône en forme de crayon à côté d’un utilisateur concerné. Cela affichera le nom d’utilisateur qui est envoyé dans l’assertion et devra correspondre au nom d’utilisateur sur le SP côté.
Remarque: Ces informations sont extraites de la OKTA page d’assistance.