SAMLによるGlobalProtectユーザー認証の失敗。
18639
Created On 02/06/24 08:43 AM - Last Modified 05/07/24 13:57 PM
Symptom
今後構成されたSAMLサーバープロファイルを示す認証ログ、それに続くWeb SSOの失敗、およびSAML SSOの失敗
を示す:2024-01-31 08:10:31.353 +0000 IdP "https://sts.windows.net/xxxxxxxxxxxxxxx/" (サーバープロファイル "xxxxxx") からの SAML メッセージが将来作成されました (not_before "2024-01-31T08:11:32.678Z" - max_clock_skew 60 > 現在 Wed Jan 31 08:10:31 2024 )
2024-01-31 08:10:31.353 +0000 ユーザー '' の SAML SSO 認証に失敗しました。 理由: SAML Web シングル サインオンに失敗しました。認証プロファイル 'xxxxxxx'、vsys 'vsys1'、サーバープロファイル 'xxxxxxxx'、IdP entityID 'https://sts.windows.net/xxxxxxxxxxxxxx/'、応答メッセージ 'SAML single-sign-on failed' From: x.x.x.x.
2024-01-31 08:10:31.353 + 0000 debug: _log_saml_respone(pan_auth_server.c:402): Sent PAN_AUTH_FAILURE SAML response:(authd_id: xxxxxxxxxxxx) (SAML err code "2" は SSO が失敗したことを意味します) (認証プロファイル 'xxxxxxxxxxxx') (reply msg 'SAML single-sign-on failed') (NameID 'user-name@domain.com') (シングルログアウトは有効ですか? 'No') (CAS(cloud-auth-service)ですか? 'いいえ')
Environment
GlobalProtectユーザー認証はSAMLベースです。
Cause
SAML サーバー プロファイルのスキュー時間は、ファイアウォールが IdP から受信したメッセージを検証した時点の IdP とファイアウォール システム時刻の間の最大許容時間差 (秒単位) です (範囲は 1 から 900、既定値は 60)。 時間差がこの値を超えると、検証 (および認証) は失敗します。
上記のログでは、IDP応答を受信したときのファイアウォールのタイムスタンプが08:10:31であることがわかりますが、IDPタイムスタンプは08:11:32です。 これにより、デフォルトのスキュー時間より 1 秒長い 61 秒の時間差が発生し、認証エラーが発生します。
Resolution
スキュー時間を調整するか、ファイアウォールと IDP サーバーが NTP を使用して時刻同期されていることを確認します。