GlobalProtect SAML Authentifizierung fehlgeschlagen mit Fehler: Authentifizierung fehlgeschlagen (Fehlercode: -1)
Symptom
SAML Die Authentifizierung mit dem IdP ist erfolgreich, aber der Webbrowser für GP die SAML clientlose VPN Adresse zeigt die Authentifizierung mit der GlobalProtect App folgenden Meldung an:
Authentifizierung fehlgeschlagen
Bitte wenden Sie sich an den Administrator, um weitere Unterstützung zu erhalten
Fehlercode: -1
Environment
GlobalProtect App
GlobalProtect Clientlose VPN
SAML Portalauthentifizierung
Cause
Im Allgemeinen tritt der Fehlercode -1 "Authentifizierung fehlgeschlagen " von SAML SP (GP Portal/Gateway firewall) auf, wenn die firewall Antwort nicht gelesen SAML werden kann
Eines dieser Szenarien tritt auf, wenn das GP Portal/Gateway firewall die SAML Antwort aufgrund veralteter IdP-Metadaten mit einem abgelaufenen oder alten Zertifikat nicht validieren kann. Der authd-Prozess zeigt ein Protokoll an, in dem Fehler angegeben ist, während die Signatur der vom IdP empfangenen Nachricht überprüft wird, da das Zertifikat in der SAML SAML Nachricht nicht mit dem IDP im IdP-Serverprofil konfigurierten Zertifikat übereinstimmt, z. B . die folgenden Protokolle für dieses spezielle Szenario:
2022-10-11 18:07:18.649 -0700 Received SAML Assertion from 'https://sts.windows.net/zzzzzzzzzzzzzzz-4c7c-b905-xxxxxxxxxxxxxx/' from client '10.1.1.1' 2022-10-11 18:07:18.649 -0700 debug: _extract_sso_attribute(pan_authd_saml_internal.c:526): Got attr name (username) "username" ; value "example-lab@----------"; ... ... 2022-10-11 18:07:18.650 -0700 debug: _is_same_public_key(pan_authd_saml_internal.c:324): configured cert = MIIC8DCCAdigAwIBAgIQVL5TcdnLDbtBR92r32p6YTANBgkqhkiG9w0BAQsFADA0MTIwMA… ne/hW8yBwjP8F1hnuRQFR2tXt 2022-10-11 18:07:18.650 -0700 debug: _is_same_public_key(pan_authd_saml_internal.c:325): received cert = MIIC8DCCAdigAwIBAgIQLqCFsVA7VbtIqmJfj8lGxTANBgkqhkiG9w0BAQsFADA0MTIwMA… GA8IKWDA/lao7FLiIKkWqhiAl 2022-10-11 18:07:18.650 -0700 Failure while validating the signature of SAML message received from the IdP "https://sts.windows.net/zzzzzzzzzzzzzzz-4c7c-b905-xxxxxxxxxxxxxx/", because the certificate in the SAML Message doesn't match the IDP certificate configured on the IdP Server Profile "Azure-IDP". (SP: "Global Protect"), (Client IP: 10.1.1.1), (vsys: vsys1), (authd id: 7132225947322817063), (user: example-lab@----------)
Resolution
1 . Laden Sie die IdP-Metadaten für die SAML konfigurierte Anwendung herunter. Beispiel: Schritt 8 in Artikel HOW TO SETUP AZURE SAML AUTHENTICATION WITH GLOBALPROTECT
2. Importieren Sie die SAML IdP-Metadaten PANW firewall , um ein SAML IdP-Serverprofil zu erstellen. Beispiel: Schritte zum Konfigurieren SAML der Authentifizierung für die Verwendung für GlobalProtect Portal und Gateway im Abschnitt HOW TO SETUP AZURE SAML AUTHENTICATION WITH GLOBALPROTECT