SAML シングル サインオンに失敗しました

• firewallユーザーはシングル サインオン panorama ( ) を使用して / にログインできません SSO 。
• エラーメッセージは次のように受け取ります。

SSO Response Status
Status: Failed
SAML single-sign-on failed

• 任意のパロアルト Firewall または Panorama
• 任意 PAN-OS の .
• Okta を使用して構成されたシングル サインオン。

• 認証ログ(authd.logから、以下のログの関連部分が問題を示しています。

.... username: entered "john_doe@abc.com" != returned "John_Doe@abc.com" from IdP "http://www.okta.com/xxxx" -> reject SAML auth due to security concerns 
.... Error: _handle_request(pan_authd_saml.c:2102): occurs in _parse_sso_response()
     Sent PAN_AUTH_FAILURE SAML response:(authd_id: 6923201339409303840) (SAML err code "2" means SSO failed) (return username 'John_Doe@abc.com')
     

• アサーションで使用されるユーザー名の値 SAML は、大文字と小文字が区別されます。
• この場合、顧客は NameID 属性に入力されたのと同じ形式を使用する必要があります SAML 。
• エラー コード 2 - " SAML 検証 (IdP は、構成済み要求を処理する方法を知りません") " 応答で、不正な # または署名されていない発行者または指定された名前 ID 形式が正しくありません。この情報は、このリンクで見つかりました:SSO セットアップ ガイド: ログイン エラー コード ( SSO 種類別)

1. ステップ 1 - どのユーザー名フォーマットが SP 必要かを確認します。
2. ステップ 2 - Okta がアサーションで送信しているユーザ名を確認します。