SAML authentification par erreur : « Échec lors de la validation de la signature du SAML message reçu de l’IdP »
56505
Created On 01/24/21 19:00 PM - Last Modified 03/26/21 18:57 PM
Symptom
SAML l’authentification échoue et le message d’erreur suivant est vu :
Failure while validating the signature of SAML message received from the IdP, because the certificate
in the SAML Message doesn't match the IDP certificate configured on the IdP Server Profile.
Environment
- N’importe quel Palo Alto Firewall ou Panorama .
- Toutes PAN-OS les versions.
- SAML Configuré.
Cause
Lorsqu’un utilisateur demande un service ou une application, il firewall Panorama intercepte ou intercepte la demande et redirige l’utilisateur vers l’IdP pour l’authentification. L’IdP authentifie ensuite l’utilisateur et renvoie SAML une affirmation. Dans ce cas, l’IdP envoie une affirmation avec un certificat différent du certificat dans le fichier de métadonnées qui a été précédemment importé dans le firewall .
Resolution
- Exportez SAML le fichier de métadonnées de l’IdP à un point final que le peut firewall accéder.
- Aller à GUI : Device > Server Profiles > Identity SAML Provider.
- Cliquez sur le bouton Importation en bas de l’onglet et sélectionnez le fichier de métadonnées pour importer à nouveau le certificat de l’IdP.
- Aller à GUI : Device > Authentication Profile, trouver les profils en utilisant l’ancien fournisseur SAML d’identité, et remplacer l’ancien nom de profil par le nouveau nom de profil.
- Si l’authentification échoue toujours en raison d’erreurs de certificat après avoir suivi les étapes ci-dessus, puis générer de nouveaux certificats sur l’IdP, les rendre actifs, et suivre les étapes 1-4 à nouveau.