SAML Google 身份验证失败IDP证书不匹配错误

• SAML 身份验证配置为全局保护用户Prisma Access或帕洛阿尔托地层Firewall.
• 最初的SAML重定向工作，然后用户使用他们的凭据IDP然后显示一条错误消息。

• Prisma Access 为了Mobile users运行 9.1 或更高版本
• 帕洛阿尔托地层 Firewall
• PAN-OS 9.1或以上
• 全局保护已配置。

• 由于返回的证书不正确，此处的身份验证失败IDP导致不匹配。
• 这authd 以转储模式登录（请参阅附加部分）显示序列和故障详细信息。

2021-10-13 18:06:34.696 +0800 debug: _is_same_public_key(pan_authd_saml_internal.c:340): configured cert = MIIDdDCCAl

received   cert = MIIDdDCCAlygAwIBAgIGAXw1oCefMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ
0N+B2021-10-13 18:06:34.696 +0800 Failure while validating the signature of
SAML message received from the IdP "https://accounts.google.com/o/saml2?idpid=xxxxxxx", because the certificate in the SAML Message doesn't match the
 IDP certificate configured on the IdP Server Profile "saml_IDP_111111111111". (SP: "Global Protect"), (Client IP: 1.1.1.1), (vsys: vsys1), (authd id: 
7010347857933132787), (user: user1@domain.com)

• 当。。。的时候IDP提供元数据，它们包括 2 个证书。 Palo Alto 将默认使用第一个证书SAML消息。
• 但是IDP在这种情况下使用第二个证书，这就是身份验证失败的地方。

2. 联系IDP或者IDP管理员并更改证书序列以使用第二个证书。 （受到推崇的）
3. 复制元数据.xml文件并修改它以用第一个证书替换第二个证书，反之亦然。 现在在身份验证配置文件中导入此文件，然后提交。

• 要确定正在使用哪个证书，请打开包含该证书的 metadata.xml 文件。
• 将证书与授权日志以确定正确的使用。 它将始终是元数据文件中的第一个。
• authd 日志将截断预期的证书文本的某些部分。 将剩余的文本与文件匹配。

debug authentication show     >>> Provides the current level of debug.
authd debug level: debug      >>> current level of debug
debug authentication on dump  >>> Debug set to dump level
debug authentication on debug >>> Debug set to normal level after investigation