通过 SAML 进行 GlobalProtect 用户身份验证失败。

通过 SAML 进行 GlobalProtect 用户身份验证失败。

18762
Created On 02/06/24 08:43 AM - Last Modified 05/07/24 14:01 PM


Symptom


显示将来配置的 SAML 服务器配置文件的身份验证日志遵循 Web SSO 失败和 SAML SSO 失败:

2024-01-31 08:10:31.353 +0000 来自 IdP“https://sts.windows.net/xxxxxxxxxxxxxxx/”(服务器配置文件“xxxxxx”)的 SAML 消息将来创建 (not_before “2024-01-31T08:11:32.678Z” - max_clock_skew 60 >现在 Wed Jan 31 08:10:31 2024 )


2024-01-31 08:10:31.353 +0000 用户 '' 的 SAML SSO 身份验证失败。 原因:SAML Web 单点登录失败。身份验证配置文件“xxxxxxx”,VSYS“vsys1”,服务器配置文件“xxxxxxxx”,IdP entityID“https://sts.windows.net/xxxxxxxxxxxxxx/”,回复消息“SAML 单点登录失败” 发件人:x.x.x.x。


2024-01-31 08:10:31.353 +0000 调试:_log_saml_respone(pan_auth_server.c:402):PAN_AUTH_FAILURE SAML 响应发送:(authd_id:xxxxxxxxxxxx)(SAML 错误代码“2”表示 SSO 失败)(身份验证配置文件“xxxxxxxxxxxx”)(回复消息“SAML 单点登录失败”) (NameID 'user-name@domain.com') (启用单点注销? '否')(是 CAS(cloud-auth-service)吗? “否”)
 

Environment


GlobalProtect 用户身份验证基于 SAML。

Cause


SAML 服务器配置文件中的偏斜时间是防火墙验证从 IdP 接收的消息时,IdP 和防火墙系统时间之间可接受的最大时间差(以秒为单位)(范围为 1 到 900;默认值为 60)。 如果时间差超过此值,则验证(以及身份验证)将失败。

在上面的日志中,可以看到收到 IDP 响应时的防火墙时间戳是 08:10:31,但 IDP 时间戳是 08:11:32。 这使得时间差为 61 秒,比默认偏斜时间多 1 秒,从而导致身份验证失败。

Resolution


调整偏斜时间或确保防火墙和 IDP 服务器使用 NTP 进行时间同步。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhjmCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language