SAML Die Authentifizierung mit Google IDP schlägt mit einem Fehler bei der Nichtübereinstimmung des Zertifikats fehl

SAML Die Authentifizierung mit Google IDP schlägt mit einem Fehler bei der Nichtübereinstimmung des Zertifikats fehl

10165
Created On 10/13/21 11:20 AM - Last Modified 05/15/23 09:34 AM


Symptom


  • SAML Die Authentifizierung ist für den globalen Schutz von Benutzern mit Prisma Access oder Palo Alto Strata Firewallkonfiguriert.
  • Die anfängliche SAML Umleitung funktioniert, gefolgt davon, dass der Benutzer seine Anmeldeinformationen mit IDP verwendet, und dann wird eine Fehlermeldung angezeigt.
Google-FehlerIDP-

Environment


  • Prisma Access für Mobile users 9.1 oder höher
  • Palo Alto Schichten Firewall
  • PAN-OS 9.1 oder höher
  • Global Protect konfiguriert.

Cause


  • Die Authentifizierung schlägt hier fehl, da das falsche Zertifikat zurückgegeben wird, was IDP zu einer Nichtübereinstimmung führt.
  • Die authd-Protokolle im Dump-Modus (siehe zusätzlichen Abschnitt) zeigen die Reihenfolge und die Fehlerdetails an.
 
2021-10-13 18:06:34.696 +0800 debug: _is_same_public_key(pan_authd_saml_internal.c:340): configured cert = MIIDdDCCAl

received   cert = MIIDdDCCAlygAwIBAgIGAXw1oCefMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ
0N+B2021-10-13 18:06:34.696 +0800 Failure while validating the signature of
SAML message received from the IdP "https://accounts.google.com/o/saml2?idpid=xxxxxxx", because the certificate in the SAML Message doesn't match the
 IDP certificate configured on the IdP Server Profile "saml_IDP_111111111111". (SP: "Global Protect"), (Client IP: 1.1.1.1), (vsys: vsys1), (authd id: 
7010347857933132787), (user: user1@domain.com)
Der obige Protokollausschnitt wird absichtlich abgeschnitten.
  • Wenn die IDP Metadaten bereitgestellt werden, enthalten sie 2 Zertifikate. Palo Alto verwendet standardmäßig das erste Zertifikat für SAML Nachrichten.
  • IDP In diesem Fall wird jedoch das zweite Zertifikat verwendet, und hier schlägt die Authentifizierung fehl.

Resolution


Es gibt 2 Möglichkeiten, dies zu beheben.
  1. Wenden Sie sich an den IDP Administrator oder IDP und ändern Sie die Zertifikatsreihenfolge, um ein zweites Zertifikat zu verwenden. (Empfohlen)
  2. Kopieren Sie die Metadaten .xml Datei und ändern Sie sie, um das zweite Zertifikat durch das 1. zu ersetzen und umgekehrt. Importieren Sie diese Datei nun in das Authentifizierungsprofil, gefolgt von einem Commit.

Anmerkung 1: Dies ist auf dem Palo Alto kein Problem. Der zweite Schritt wird als Problemumgehung verwendet, um das zweite Zertifikat abzugleichen, das von .IDP
Hinweis2: Die Metadatendatei wird von IDP .Firewall Weitere Informationen finden Sie in Schritt 5 des Links .

Additional Information


  • Um festzustellen, welches Zertifikat verwendet wird, öffnen Sie die Metadaten.xml Datei, die das Zertifikat enthält.
  • Vergleichen Sie das Zertifikat mit den authd-Protokollen , um das richtige verwendete Zertifikat zu identifizieren. Es wird immer das erste aus der Metadatendatei sein.
  • Die authd-Protokolle schneiden einen Teil des erwarteten Zertifikatstextes ab. Ordnen Sie den verbleibenden Text der Datei zu.
Befehle zum Ändern der Debug-Authentifizierungsstufe.
debug authentication show     >>> Provides the current level of debug.
authd debug level: debug      >>> current level of debug
debug authentication on dump  >>> Debug set to dump level
debug authentication on debug >>> Debug set to normal level after investigation

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004Lz9CAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language