Die Authentifizierung von GlobalProtect-Benutzern durch SAML schlägt fehl.

Die Authentifizierung von GlobalProtect-Benutzern durch SAML schlägt fehl.

18859
Created On 02/06/24 08:43 AM - Last Modified 05/07/24 14:02 PM


Symptom


Authd-Protokolle, die das in Zukunft konfigurierte SAML-Serverprofil anzeigen, folgten Web-SSO fehlgeschlagen und SAML-SSO fehlgeschlagen:

2024-01-31 08:10:31.353 +0000 SAML-Nachricht vom IdP "https://sts.windows.net/xxxxxxxxxxxxxxx/" (Serverprofil "xxxxxx") wurde in der Zukunft erstellt (not_before "2024-01-31T08:11:32.678Z" - max_clock_skew 60 > jetzt Wed Jan 31 08:10:31 2024 )


2024-01-31 08:10:31.353 +0000 SAML-SSO-Authentifizierung für Benutzer '' fehlgeschlagen. Ursache: Fehler beim einmaligen Anmelden im SAML-Web. Authentifizierungsprofil 'xxxxxxx', vsys 'vsys1', Serverprofil 'xxxxxxxx', IdP-Entitäts-ID 'https://sts.windows.net/xxxxxxxxxxxxxx/', Antwortmeldung 'SAML-Single-Sign-On fehlgeschlagen' Von: x.x.x.x


.2024-01-31 08:10:31.353 +0000 debuggen: _log_saml_respone(pan_auth_server.c:402): Gesendet PAN_AUTH_FAILURE SAML-Antwort:(authd_id: xxxxxxxxxxxx) (SAML-Fehlercode "2" bedeutet SSO fehlgeschlagen) (Authentifizierungsprofil 'xxxxxxxxxxxx') (Antwortmeldung 'SAML Single-Sign-On fehlgeschlagen') (NameID 'Benutzername@domain.com') (Single Logout aktiviert? 'Nein') (Ist es CAS (cloud-auth-service)? 'Nein')
 

Environment


Die GlobalProtect-Benutzerauthentifizierung basiert auf SAML.

Cause


Die Verzerrungszeit im SAML-Serverprofil ist die maximal akzeptable Zeitdifferenz in Sekunden zwischen der IdP- und der Firewall-Systemzeit in dem Moment, in dem die Firewall eine Nachricht überprüft, die sie vom IdP empfängt (Bereich ist 1 bis 900; Standardwert ist 60). Überschreitet der Zeitunterschied diesen Wert, schlägt die Validierung (und damit die Authentifizierung) fehl.

In den obigen Protokollen ist zu sehen, dass der Firewall-Zeitstempel beim Empfang der IDP-Antwort 08:10:31 ist, der IDP-Zeitstempel jedoch 08:11:32. Dadurch beträgt der Zeitunterschied 61 Sekunden, was 1 Sekunde mehr ist als die standardmäßige Verzerrungszeit, die zu einem Authentifizierungsfehler führt.

Resolution


Passen Sie die Verzerrungszeit an oder stellen Sie sicher, dass die Firewall und der IDP-Server über NTP synchronisiert sind.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhjmCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language