SAML Authentifizierung stritt mit Fehler aus: "Fehler beim Überprüfen der Signatur der SAML vom IdP empfangenen Nachricht"
56497
Created On 01/24/21 19:00 PM - Last Modified 03/26/21 18:57 PM
Symptom
SAML Authentifizierung schlägt fehl, und die folgende Fehlermeldung wird angezeigt:
Failure while validating the signature of SAML message received from the IdP, because the certificate
in the SAML Message doesn't match the IDP certificate configured on the IdP Server Profile.
Environment
- Jede Palo Alto Firewall oder Panorama .
- Alle PAN-OS Versionen.
- SAML Konfiguriert.
Cause
Wenn ein Benutzer einen Dienst oder eine Anwendung anfordert, fängt der firewall die Anforderung ab und leitet den Benutzer zur Panorama Authentifizierung an den IdP um. Der IdP authentifiziert dann den Benutzer und gibt eine SAML Assertion zurück. In diesem Fall sendet der IdP eine Assertion mit einem Zertifikat, das sich von dem Zertifikat in der Metadatendatei unterscheidet, die zuvor in die importiert firewall wurde.
Resolution
- Exportieren Sie die SAML Metadatendatei aus dem IdP in einen Endpunkt, auf den der firewall zugreifen kann.
- Gehe zu GUI : Device > Server Profiles > SAML Identity Provider.
- Klicken Sie auf die Schaltfläche Importieren am unteren Rand der Registerkarte, und wählen Sie die Metadatendatei aus, um das Zertifikat erneut aus dem IdP zu importieren.
- Wechseln Sie zu GUI : Gerät > Authentifizierungsprofil, suchen Sie die Profile mithilfe des alten SAML Identitätsanbieters, und ersetzen Sie den alten Profilnamen durch den neuen Profilnamen.
- Wenn die Authentifizierung aufgrund von Zertifikatsfehlern nach den oben beschriebenen Schritten weiterhin fehlschlägt, generieren Sie neue Zertifikate für den IdP, machen Sie sie aktiv, und führen Sie die Schritte 1-4 erneut aus.