SAML 单个登录失败

• 用户无法登录 firewall / panorama 使用单个登录 SSO （）。
• 错误消息接收如下。

SSO Response Status
Status: Failed
SAML single-sign-on failed

• 任何帕洛阿尔托 Firewall 或 Panorama
• 任何 PAN-OS 。
• 使用奥克塔配置的单个签名。

• 从身份验证日志（正版.log），下面的日志的相关部分表示问题：

.... username: entered "john_doe@abc.com" != returned "John_Doe@abc.com" from IdP "http://www.okta.com/xxxx" -> reject SAML auth due to security concerns 
.... Error: _handle_request(pan_authd_saml.c:2102): occurs in _parse_sso_response()
     Sent PAN_AUTH_FAILURE SAML response:(authd_id: 6923201339409303840) (SAML err code "2" means SSO failed) (return username 'John_Doe@abc.com')
     

• 断言中使用的用户名值 SAML 对案例敏感。
• 在这种情况下，客户必须使用在 NameID 属性中输入的相同格式 SAML 。
• 错误代码2-" SAML 验证（IdP不知道如何按照配置处理请求"）"不正确的#或未签名的发行人响应或指定的不正确的名称ID格式。此信息在此链接中找到：SSO 设置指南：按 SSO 类型登录错误代码

1. 第 1 步 - 验证侧面预计使用什么用户名格式 SP 。
2. 第 2 步 - 验证断言中发送的用户名 Okta。