GlobalProtect SAML Échec de l’authentification avec erreur : échec de l’authentification (code d’erreur : -1)
Symptom
SAML l’authentification avec l’IdP réussit, mais le navigateur Web ou pour GP l’adresse sans client VPN indique que l’authentification SAML a échoué avec le GlobalProtect App message suivant :
Échec
de l’authentification Veuillez contacter l’administrateur pour obtenir de l’aide
. Code d’erreur : -1
Environment
GlobalProtect App
GlobalProtect Authentification du portail
SAML sans VPN client
Cause
En général, le code d’erreur d’échec de l’authentification -1 de SAML SP (GP Portail/Passerelle firewall) se produit lorsque le ne parvient pas à le firewall lire SAML Réponse
L’un de ces scénarios se produit lorsque le GP portail/passerelle firewall ne peut pas valider la SAML réponse en raison de métadonnées IdP obsolètes avec un certificat expiré ou ancien. Le processus d'authentification affiche un journal qui indique Échec lors de la validation de la signature du message reçu de l'IdP..., car le certificat dans le message ne correspond pas au IDP certificat configuré sur le SAML profil de SAML serveur IdP, par exemple, les journaux suivants pour ce scénario spécifique :
2022-10-11 18:07:18.649 -0700 Received SAML Assertion from 'https://sts.windows.net/zzzzzzzzzzzzzzz-4c7c-b905-xxxxxxxxxxxxxx/' from client '10.1.1.1' 2022-10-11 18:07:18.649 -0700 debug: _extract_sso_attribute(pan_authd_saml_internal.c:526): Got attr name (username) "username" ; value "example-lab@----------"; ... ... 2022-10-11 18:07:18.650 -0700 debug: _is_same_public_key(pan_authd_saml_internal.c:324): configured cert = MIIC8DCCAdigAwIBAgIQVL5TcdnLDbtBR92r32p6YTANBgkqhkiG9w0BAQsFADA0MTIwMA… ne/hW8yBwjP8F1hnuRQFR2tXt 2022-10-11 18:07:18.650 -0700 debug: _is_same_public_key(pan_authd_saml_internal.c:325): received cert = MIIC8DCCAdigAwIBAgIQLqCFsVA7VbtIqmJfj8lGxTANBgkqhkiG9w0BAQsFADA0MTIwMA… GA8IKWDA/lao7FLiIKkWqhiAl 2022-10-11 18:07:18.650 -0700 Failure while validating the signature of SAML message received from the IdP "https://sts.windows.net/zzzzzzzzzzzzzzz-4c7c-b905-xxxxxxxxxxxxxx/", because the certificate in the SAML Message doesn't match the IDP certificate configured on the IdP Server Profile "Azure-IDP". (SP: "Global Protect"), (Client IP: 10.1.1.1), (vsys: vsys1), (authd id: 7132225947322817063), (user: example-lab@----------)
Resolution
1 . Téléchargez les SAML métadonnées IdP pour l’application configurée. Par exemple, l’étape 8 sur l’article HOW TO SETUP AZURE SAML AUTHENTICATION WITH GLOBALPROTECT
2. Importez les métadonnées IdP SAML pour PANW firewall créer un SAML profil de serveur IdP. Par exemple, la section Étapes de configuration SAML de l’authentification pour l’utiliser pour GlobalProtect le portail et la passerelle de l’article HOW TO SETUP AZURE SAML AUTHENTICATION WITH GLOBALPROTECT