Falla la autenticación de los usuarios de GlobalProtect a través de SAML.

Falla la autenticación de los usuarios de GlobalProtect a través de SAML.

18859
Created On 02/06/24 08:43 AM - Last Modified 05/07/24 14:02 PM


Symptom


Los registros de autenticación que muestran el perfil del servidor SAML configurado en el futuro siguieron el error de SSO web y el error de SSO de SAML:

2024-01-31 08:10:31.353 +0000 El mensaje SAML del IdP "https://sts.windows.net/xxxxxxxxxxxxxxx/" (perfil de servidor "xxxxxx") se creó en el futuro (not_before "2024-01-31T08:11:32.678Z" - max_clock_skew 60 > ahora Wed Jan 31 08:10:31 2024 )


2024-01-31 08:10:31.353 +0000 Error de autenticación SSO SAML para el usuario ''. Motivo: Error en el inicio de sesión único web de SAML. perfil de autenticación 'xxxxxxx', vsys 'vsys1', perfil de servidor 'xxxxxxxx', IdP entityID 'https://sts.windows.net/xxxxxxxxxxxxxx/', mensaje de respuesta 'Error de inicio de sesión único SAML' De: x.x.x.x.


2024-01-31 08:10:31.353 +0000 debug: _log_saml_respone(pan_auth_server.c:402): Enviado PAN_AUTH_FAILURE respuesta SAML:(authd_id: xxxxxxxxxxxx) (El código de error SAML "2" significa que SSO falló) (perfil de autenticación 'xxxxxxxxxxxx') (mensaje de respuesta 'Error de inicio de sesión único de SAML') (NameID 'nombre-usuario@domain.com') (¿Cierre de sesión único habilitado? 'No') (¿Es CAS (cloud-auth-service)? 'No')
 

Environment


La autenticación de usuarios de GlobalProtect está basada en SAML.

Cause


El tiempo de sesgo en el perfil del servidor SAML es la diferencia de tiempo máxima aceptable en segundos entre el IdP y las horas del sistema de firewall en el momento en que el firewall valida un mensaje que recibe del IdP (el rango es de 1 a 900; el valor predeterminado es 60). Si la diferencia horaria supera este valor, se produce un error en la validación (y, por tanto, en la autenticación).

En los registros anteriores, se puede ver que la marca de tiempo del firewall cuando se recibe la respuesta del IDP es 08:10:31, sin embargo, la marca de tiempo del IDP es 08:11:32. Esto hace que la diferencia de tiempo sea de 61 segundos, que es 1 segundo más que el tiempo de sesgo predeterminado que provoca un error de autenticación.

Resolution


Ajuste el tiempo de sesgo o asegúrese de que el firewall y el servidor IDP estén sincronizados con NTP.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhjmCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language