Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
SAML シングル サインオンに失敗しました - Knowledge Base - Palo Alto Networks

SAML シングル サインオンに失敗しました

55714
Created On 04/01/21 19:06 PM - Last Modified 09/28/21 02:56 AM


Symptom


  • firewallユーザーはシングル サインオン panorama ( ) を使用して / にログインできません SSO 。
  • エラーメッセージは次のように受け取ります。
SSO Response Status
Status: Failed
SAML single-sign-on failed


              

 


Environment


  • 任意のパロアルト Firewall または Panorama
  • 任意 PAN-OS の .
  • Okta を使用して構成されたシングル サインオン。


Cause


  • 認証ログ(authd.logから、以下のログの関連部分が問題を示しています。
.... username: entered "john_doe@abc.com" != returned "John_Doe@abc.com" from IdP "http://www.okta.com/xxxx" -> reject SAML auth due to security concerns 
.... Error: _handle_request(pan_authd_saml.c:2102): occurs in _parse_sso_response()
     Sent PAN_AUTH_FAILURE SAML response:(authd_id: 6923201339409303840) (SAML err code "2" means SSO failed) (return username 'John_Doe@abc.com')
     
 
  • アサーションで使用されるユーザー名の値 SAML は、大文字と小文字が区別されます。
  • この場合、顧客は NameID 属性に入力されたのと同じ形式を使用する必要があります SAML 。
  • エラー コード 2 - " SAML 検証 (IdP は、構成済み要求を処理する方法を知りません") " 応答で、不正な # または署名されていない発行者または指定された名前 ID 形式が正しくありません。この情報は、このリンクで見つかりました:SSO セットアップ ガイド: ログイン エラー コード ( SSO 種類別)


Resolution


  1. ステップ 1 - どのユーザー名フォーマットが SP 必要かを確認します。
  2. ステップ 2 - Okta がアサーションで送信しているユーザ名を確認します。
「Okta アプリケーションが送信しているユーザー名を確認するには、アプリケーションの [割り当て] タブに移動し、影響を受けるユーザーの横にある鉛筆アイコンをクリックします。 これによりアサーションで送信されるユーザ名が表示され、その側のユーザ名と一致する必要があります SP 。

注意: この情報はOKTA 、サポート ページから取得されます。


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V2YCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language