GlobalProtect SAML Error de autenticación con error: error de autenticación (código de error: -1)
Symptom
SAML la autenticación con el IdP se realiza correctamente, pero el explorador web o para GP la dirección sin VPN cliente muestra un error de autenticación con el App SAML GlobalProtect siguiente mensaje:
Error de autenticación
Póngase en contacto con el administrador para obtener más ayuda
Código de error: -1
Environment
GlobalProtect App
GlobalProtect Autenticación de portal
SAML sin VPN cliente
Cause
En general, el código de error de autenticación -1 de (GP Portal / Puerta de SAML SP enlace firewall) ocurre cuando el firewall no puede leerlo SAML Respuesta
Uno de estos escenarios ocurre cuando el GP portal/puerta de enlace firewall no puede validar la SAML respuesta debido a metadatos de IdP obsoletos con un certificado caducado o antiguo. El proceso authd muestra un registro que indica Error al validar la firma del mensaje recibido del SAML IdP..., porque el certificado en el Mensaje no coincide con el certificado configurado en el SAML IDP perfil de servidor IdP, por ejemplo, los siguientes registros para este escenario específico:
2022-10-11 18:07:18.649 -0700 Received SAML Assertion from 'https://sts.windows.net/zzzzzzzzzzzzzzz-4c7c-b905-xxxxxxxxxxxxxx/' from client '10.1.1.1' 2022-10-11 18:07:18.649 -0700 debug: _extract_sso_attribute(pan_authd_saml_internal.c:526): Got attr name (username) "username" ; value "example-lab@----------"; ... ... 2022-10-11 18:07:18.650 -0700 debug: _is_same_public_key(pan_authd_saml_internal.c:324): configured cert = MIIC8DCCAdigAwIBAgIQVL5TcdnLDbtBR92r32p6YTANBgkqhkiG9w0BAQsFADA0MTIwMA… ne/hW8yBwjP8F1hnuRQFR2tXt 2022-10-11 18:07:18.650 -0700 debug: _is_same_public_key(pan_authd_saml_internal.c:325): received cert = MIIC8DCCAdigAwIBAgIQLqCFsVA7VbtIqmJfj8lGxTANBgkqhkiG9w0BAQsFADA0MTIwMA… GA8IKWDA/lao7FLiIKkWqhiAl 2022-10-11 18:07:18.650 -0700 Failure while validating the signature of SAML message received from the IdP "https://sts.windows.net/zzzzzzzzzzzzzzz-4c7c-b905-xxxxxxxxxxxxxx/", because the certificate in the SAML Message doesn't match the IDP certificate configured on the IdP Server Profile "Azure-IDP". (SP: "Global Protect"), (Client IP: 10.1.1.1), (vsys: vsys1), (authd id: 7132225947322817063), (user: example-lab@----------)
Resolution
1 . Descargue los metadatos del SAML IdP para la aplicación configurada. Por ejemplo, el Paso 8 sobre el HOW TO SETUP AZURE SAML AUTHENTICATION WITH GLOBALPROTECT artículo
2. Importe los metadatos del IdP para PANW firewall crear un perfil de SAML servidor del SAML IdP. Por ejemplo, la sección Pasos para configurar SAML la autenticación para usarla para GlobalProtect Portal y puerta de enlace en el HOW TO SETUP AZURE SAML AUTHENTICATION WITH GLOBALPROTECT artículo