Échec de l’authentification des utilisateurs GlobalProtect via SAML.
18807
Created On 02/06/24 08:43 AM - Last Modified 05/07/24 14:02 PM
Symptom
Les journaux d'authentification montrant le profil de serveur SAML configuré dans le futur ont échoué et l'authentification unique SAML a échoué :
2024-01-31 08 :10 :31.353 +0000 Le message SAML de l'IdP « https://sts.windows.net/xxxxxxxxxxxxxxx/ » (profil de serveur « xxxxxx ») a été créé dans le futur (not_before « 2024-01-31T08 :11 :32.678Z » - max_clock_skew 60 > maintenant Wed Jan 31 08 :10 :31 2024 )
2024-01-31 08 :10 :31.353 +0000 Échec de l'authentification SSO SAML pour l'utilisateur ''. Raison : échec de l’authentification unique Web SAML. profil d'authentification 'xxxxxxx', vsys 'vsys1', profil de serveur 'xxxxxxxx', ID d'entité IdP 'https://sts.windows.net/xxxxxxxxxxxxxx/', message de réponse 'SAML single-sign-on failed' De : x.x.x.x.
2024-01-31 08 :10 :31.353 +0000 débogage : _log_saml_respone(pan_auth_server.c :402) : Envoyé PAN_AUTH_FAILURE réponse SAML :(authd_id : xxxxxxxxxxxx) (Le code d'erreur SAML « 2 » signifie que l'authentification unique a échoué) (profil d'authentification 'xxxxxxxxxxxx') (réponse msg 'SAML single-sign-on failed') (NameID 'user-name@domain.com') (Déconnexion unique activée ? 'Non') (S'agit-il de CAS (cloud-auth-service) ? 'Non')
Environment
L’authentification des utilisateurs GlobalProtect est basée sur SAML.
Cause
Le temps d’inclinaison dans le profil de serveur SAML est la différence de temps maximale acceptable en secondes entre les heures du système de l’IdP et du pare-feu au moment où le pare-feu valide un message qu’il reçoit du fournisseur d’identité (plage de 1 à 900 ; la valeur par défaut est de 60). Si le décalage horaire dépasse cette valeur, la validation (et donc l’authentification) échoue.
Dans les journaux ci-dessus, on peut voir que l’horodatage du pare-feu lors de la réception de la réponse de l’IDP est 08 :10 :31, mais que l’horodatage de l’IDP est 08 :11 :32. Cela fait une différence de temps de 61 secondes, soit 1 seconde de plus que le temps d’inclinaison par défaut provoquant l’échec de l’authentification.
Resolution
Ajustez le temps d’inclinaison ou assurez-vous que le pare-feu et le serveur IDP sont synchronisés à l’aide de NTP.