SAML Googleで認証に失敗するIDP証明書不一致エラーあり

• SAML 認証は、グローバル保護ユーザーに対して構成されています。Prisma AccessまたはパロアルトストラータFirewall。
• 初期SAMLリダイレクトは機能し、ユーザーは次の認証情報を使用します。IDPそしてエラーメッセージが表示されます。

• Prisma Access ためにMobile users9.1 以降を実行している
• パロアルト ストラータ Firewall
• PAN-OS 9.1以上
• グローバルプロテクトが設定されました。

• 間違った証明書が返されたため、ここでの認証は失敗します。IDP不一致が生じます。
• のダンプモードの authd ログ(追加セクションを参照) にシーケンスと障害の詳細を示します。

2021-10-13 18:06:34.696 +0800 debug: _is_same_public_key(pan_authd_saml_internal.c:340): configured cert = MIIDdDCCAl

received   cert = MIIDdDCCAlygAwIBAgIGAXw1oCefMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ
0N+B2021-10-13 18:06:34.696 +0800 Failure while validating the signature of
SAML message received from the IdP "https://accounts.google.com/o/saml2?idpid=xxxxxxx", because the certificate in the SAML Message doesn't match the
 IDP certificate configured on the IdP Server Profile "saml_IDP_111111111111". (SP: "Global Protect"), (Client IP: 1.1.1.1), (vsys: vsys1), (authd id: 
7010347857933132787), (user: user1@domain.com)

• ときIDPメタデータを提供し、2 つの証明書が含まれます。 パロアルトはデフォルトで最初の証明書を使用します。SAMLメッセージ。
• しかしIDPこの場合は 2 番目の証明書を使用しているため、認証が失敗します。

2. 連絡先IDPまたIDPadmin を選択し、2 番目の証明書を使用するように証明書シーケンスを変更します。 （おすすめされた）
3. をコピーしますメタデータ.xmlファイルを編集して 2 番目の証明書を 1 番目の証明書に置き換えたり、その逆を行ったりします。 このファイルを認証プロファイルにインポートしてコミットします。

• どの証明書が使用されているかを確認するには、証明書が含まれているmetadata.xmlファイルを開きます。
• 証明書を次のものと比較します。認証ログ使用中の正しいものを識別するため。 これは常にメタデータ ファイルの最初のファイルになります。
• authd ログでは、予期される証明書テキストの一部が切り詰められます。 残りのテキストをファイルと照合します。

debug authentication show     >>> Provides the current level of debug.
authd debug level: debug      >>> current level of debug
debug authentication on dump  >>> Debug set to dump level
debug authentication on debug >>> Debug set to normal level after investigation