SAML L’authentification échoue avec Google IDP avec une erreur de non-concordance de certificat

SAML L’authentification échoue avec Google IDP avec une erreur de non-concordance de certificat

10135
Created On 10/13/21 11:20 AM - Last Modified 05/15/23 09:36 AM


Symptom


  • SAML l’authentification est configurée pour les utilisateurs de protection globale avec Prisma Access ou Palo Alto Strata Firewall.
  • La redirection initiale SAML fonctionne suivie par l’utilisateur utilisant ses informations d’identification avec IDP , puis un message d’erreur s’affiche.
Google-ErreurIDP-

Environment


  • Prisma Access pour Mobile users exécuter la version 9.1 ou supérieure
  • Palo Alto Strata Firewall
  • PAN-OS 9.1 ou supérieur
  • Global Protect configuré.

Cause


  • L’authentification échoue ici en raison du certificat incorrect renvoyé en IDP entraînant une incompatibilité.
  • Les journaux d’authentification en mode vidage (section supplémentaire Se référer) affichent la séquence et les détails de l’échec.
 
2021-10-13 18:06:34.696 +0800 debug: _is_same_public_key(pan_authd_saml_internal.c:340): configured cert = MIIDdDCCAl

received   cert = MIIDdDCCAlygAwIBAgIGAXw1oCefMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ
0N+B2021-10-13 18:06:34.696 +0800 Failure while validating the signature of
SAML message received from the IdP "https://accounts.google.com/o/saml2?idpid=xxxxxxx", because the certificate in the SAML Message doesn't match the
 IDP certificate configured on the IdP Server Profile "saml_IDP_111111111111". (SP: "Global Protect"), (Client IP: 1.1.1.1), (vsys: vsys1), (authd id: 
7010347857933132787), (user: user1@domain.com)
L’extrait de journal ci-dessus est tronqué intentionnellement.
  • Lorsque le IDP fournit des métadonnées, ils incluent 2 certificats. Palo Alto utilisera le premier certificat par défaut pour SAML les messages.
  • Mais dans ce cas, l'utilisation du deuxième certificat et c'est là que l IDP 'authentification échoue.

Resolution


Il y a 2 façons de résoudre ce problème.
  1. Contactez l’administrateur IDP ou IDP et modifiez la séquence de certificats pour utiliser le deuxième certificat. (Recommandé)
  2. Copiez le fichier métadonnées.xml et modifiez-le pour remplacer le deuxième certificat par le 1er et vice versa. Importez ce fichier maintenant dans le profil d’authentification suivi de commit.

Note1: Ce n’est pas un problème sur le Palo Alto. La deuxième étape est utilisée comme solution de contournement pour correspondre au deuxième certificat utilisé par le IDP.
Remarque2 : Le fichier de métadonnées est téléchargé IDP et importé dans le Firewallfichier . Reportez-vous à l’étape 5 du lien pour plus de détails.

Additional Information


  • Pour identifier le certificat utilisé, ouvrez le fichier metadata.xml qui contient le certificat.
  • Comparez le certificat avec les journaux d’authentification pour identifier le certificat utilisé correctement. Ce sera toujours le premier à partir du fichier de métadonnées.
  • Les journaux d’authentification tronqueront une partie du texte du certificat qui est attendue. Faites correspondre le texte restant avec le fichier.
Commandes permettant de modifier le niveau d’authentification du débogage.
debug authentication show     >>> Provides the current level of debug.
authd debug level: debug      >>> current level of debug
debug authentication on dump  >>> Debug set to dump level
debug authentication on debug >>> Debug set to normal level after investigation

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004Lz9CAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language