SAML シングル サインオンに失敗しました
55714
Created On 04/01/21 19:06 PM - Last Modified 09/28/21 02:56 AM
Symptom
- firewallユーザーはシングル サインオン panorama ( ) を使用して / にログインできません SSO 。
- エラーメッセージは次のように受け取ります。
SSO Response Status
Status: Failed
SAML single-sign-on failed
Environment
- 任意のパロアルト Firewall または Panorama
- 任意 PAN-OS の .
- Okta を使用して構成されたシングル サインオン。
Cause
- 認証ログ(authd.logから、以下のログの関連部分が問題を示しています。
.... username: entered "john_doe@abc.com" != returned "John_Doe@abc.com" from IdP "http://www.okta.com/xxxx" -> reject SAML auth due to security concerns .... Error: _handle_request(pan_authd_saml.c:2102): occurs in _parse_sso_response() Sent PAN_AUTH_FAILURE SAML response:(authd_id: 6923201339409303840) (SAML err code "2" means SSO failed) (return username 'John_Doe@abc.com')
- アサーションで使用されるユーザー名の値 SAML は、大文字と小文字が区別されます。
- この場合、顧客は NameID 属性に入力されたのと同じ形式を使用する必要があります SAML 。
- エラー コード 2 - " SAML 検証 (IdP は、構成済み要求を処理する方法を知りません") " 応答で、不正な # または署名されていない発行者または指定された名前 ID 形式が正しくありません。この情報は、このリンクで見つかりました:SSO セットアップ ガイド: ログイン エラー コード ( SSO 種類別)
Resolution
- ステップ 1 - どのユーザー名フォーマットが SP 必要かを確認します。
- ステップ 2 - Okta がアサーションで送信しているユーザ名を確認します。
「Okta アプリケーションが送信しているユーザー名を確認するには、アプリケーションの [割り当て] タブに移動し、影響を受けるユーザーの横にある鉛筆アイコンをクリックします。 これによりアサーションで送信されるユーザ名が表示され、その側のユーザ名と一致する必要があります SP 。
注意: この情報はOKTA 、サポート ページから取得されます。