SAML La autenticación falla con Google IDP con error de no coincidencia de certificado

SAML La autenticación falla con Google IDP con error de no coincidencia de certificado

10187
Created On 10/13/21 11:20 AM - Last Modified 05/15/23 09:34 AM


Symptom


  • SAML la autenticación está configurada para proteger globalmente a los usuarios con Prisma Access o Palo Alto Strata Firewall.
  • La redirección inicial SAML funciona seguida por el usuario que usa sus credenciales con IDP y, a continuación, se muestra un mensaje de error.
Google-ErrorIDP-

Environment


  • Prisma Access para Mobile users ejecutar 9.1 o superior
  • Estratos de Palo Alto Firewall
  • PAN-OS 9.1 o superior
  • Global Protect configurado.

Cause


  • La autenticación aquí falla debido a que el certificado incorrecto se devuelve dando IDP como resultado una discrepancia.
  • Los registros authd en modo de volcado (sección adicional Referir) muestran la secuencia y los detalles del error.
 
2021-10-13 18:06:34.696 +0800 debug: _is_same_public_key(pan_authd_saml_internal.c:340): configured cert = MIIDdDCCAl

received   cert = MIIDdDCCAlygAwIBAgIGAXw1oCefMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ
0N+B2021-10-13 18:06:34.696 +0800 Failure while validating the signature of
SAML message received from the IdP "https://accounts.google.com/o/saml2?idpid=xxxxxxx", because the certificate in the SAML Message doesn't match the
 IDP certificate configured on the IdP Server Profile "saml_IDP_111111111111". (SP: "Global Protect"), (Client IP: 1.1.1.1), (vsys: vsys1), (authd id: 
7010347857933132787), (user: user1@domain.com)
El fragmento de registro anterior se trunca intencionadamente.
  • Cuando se IDP proporcionan metadatos, se incluyen 2 certificados. Palo Alto usará el primer certificado de forma predeterminada para SAML los mensajes.
  • Pero en IDP este caso está usando el segundo certificado y ahí es donde falla la autenticación.

Resolution


Hay 2 formas de solucionar esto.
  1. Póngase en contacto con el administrador y IDP cambie la secuencia de certificados para usar el IDP segundo certificado. (Recomendado)
  2. Copie el archivo metadata.xml y modifíquelo para reemplazar el segundo certificado por el 1er y viceversa. Importe este archivo ahora en el perfil de autenticación seguido de commit.

Nota 1: Esto no es un problema en Palo Alto. El segundo paso se utiliza como solución alternativa para que coincida con el segundo certificado en uso por el IDP.
Nota 2: El archivo de metadatos se descarga desde el Firewallarchivo .IDP Consulte el Paso 5 del enlace para obtener más detalles.

Additional Information


  • Para identificar qué certificado está en uso, abra el archivo metadata.xml que contiene el certificado.
  • Compare el certificado con los registros de autenticación para identificar el certificado correcto en uso. Siempre será el primero del archivo de metadatos.
  • Los registros de autenticación truncarán alguna parte del texto del certificado que se espera. Haga coincidir el texto restante con el archivo.
Comandos para cambiar el nivel de autenticación de depuración.
debug authentication show     >>> Provides the current level of debug.
authd debug level: debug      >>> current level of debug
debug authentication on dump  >>> Debug set to dump level
debug authentication on debug >>> Debug set to normal level after investigation

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004Lz9CAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language