SAML Error de autenticación con error: "Error al validar la firma del SAML mensaje recibido del IdP"
56497
Created On 01/24/21 19:00 PM - Last Modified 03/26/21 18:57 PM
Symptom
SAML se produce un error en la autenticación y se ve el siguiente mensaje de error:
Failure while validating the signature of SAML message received from the IdP, because the certificate
in the SAML Message doesn't match the IDP certificate configured on the IdP Server Profile.
Environment
- Cualquier Palo Alto Firewall o Panorama .
- Cualquier PAN-OS versión.
- SAML Configurado.
Cause
Cuando un usuario solicita un servicio o aplicación, el firewall o Panorama intercepta la solicitud y redirige al usuario al IdP para la autenticación. A continuación, el IdP autentica al usuario y devuelve una SAML aserción. En este caso, el IdP está enviando una aserción con un certificado diferente del certificado en el archivo de metadatos que se importó anteriormente en el firewall archivo .
Resolution
- Exporte el SAML archivo de metadatos desde el IdP a un punto de conexión al que pueda tener firewall acceso.
- Vaya a GUI : Perfiles de servidor de > dispositivo > SAML proveedor de identidades.
- Haga clic en el botón Importar en la parte inferior de la pestaña y seleccione el archivo de metadatos para volver a importar el certificado desde el IdP.
- Vaya a GUI : Perfil de autenticación de > dispositivo,busque los perfiles mediante el proveedor de identidades antiguo SAML y reemplace el nombre del perfil antiguo por el nuevo nombre de perfil.
- Si la autenticación sigue fallando debido a errores de certificado después de seguir los pasos anteriores, genere nuevos certificados en el IdP, hágalos activos y siga los pasos 1-4 de nuevo.