GlobalProtect SAML 身份验证失败,错误:身份验证失败(错误代码:-1)
50792
Created On 10/18/22 23:29 PM - Last Modified 05/09/23 05:41 AM
Symptom
SAML 认证与SAMLIdP 是成功的,但是GlobalProtectApp或网络浏览器GP无客户端VPN地址显示身份验证失败并显示以下消息:
认证失败
请联系管理员以获得进一步的帮助
错误代码:-1
Environment
GlobalProtect App
GlobalProtect 无客户端VPN门户网站
SAML验证
Cause
一般来说,身份验证失败错误代码 -1从SAML SP(GP门户/网关firewall) 发生在firewall看不懂SAML回复
其中一种情况发生在GP门户/网关firewall无法验证SAML由于具有过期或旧证书的陈旧 IdP 元数据的响应。 这授权进程显示一个日志,指出验证签名时失败SAML从 IdP 收到的消息...,因为证书在SAML消息不符合IDP在 IdP 服务器配置文件上配置的证书,例如,此特定场景的以下日志:
2022-10-11 18:07:18.649 -0700 Received SAML Assertion from 'https://sts.windows.net/zzzzzzzzzzzzzzz-4c7c-b905-xxxxxxxxxxxxxx/' from client '10.1.1.1' 2022-10-11 18:07:18.649 -0700 debug: _extract_sso_attribute(pan_authd_saml_internal.c:526): Got attr name (username) "username" ; value "example-lab@----------"; ... ... 2022-10-11 18:07:18.650 -0700 debug: _is_same_public_key(pan_authd_saml_internal.c:324): configured cert = MIIC8DCCAdigAwIBAgIQVL5TcdnLDbtBR92r32p6YTANBgkqhkiG9w0BAQsFADA0MTIwMA… ne/hW8yBwjP8F1hnuRQFR2tXt 2022-10-11 18:07:18.650 -0700 debug: _is_same_public_key(pan_authd_saml_internal.c:325): received cert = MIIC8DCCAdigAwIBAgIQLqCFsVA7VbtIqmJfj8lGxTANBgkqhkiG9w0BAQsFADA0MTIwMA… GA8IKWDA/lao7FLiIKkWqhiAl 2022-10-11 18:07:18.650 -0700 Failure while validating the signature of SAML message received from the IdP "https://sts.windows.net/zzzzzzzzzzzzzzz-4c7c-b905-xxxxxxxxxxxxxx/", because the certificate in the SAML Message doesn't match the IDP certificate configured on the IdP Server Profile "Azure-IDP". (SP: "Global Protect"), (Client IP: 10.1.1.1), (vsys: vsys1), (authd id: 7132225947322817063), (user: example-lab@----------)
Resolution
1.下载SAML已配置应用程序的 IdP 元数据。 例如,步骤 8在HOW TO SETUP AZURE SAML AUTHENTICATION WITH GLOBALPROTECT文章
2. 导入SAMLIdP 元数据PANW firewall创建一个SAMLIdP 服务器配置文件。 例如,配置步骤SAML身份验证使用它GlobalProtect门户和网关上的部分HOW TO SETUP AZURE SAML AUTHENTICATION WITH GLOBALPROTECT文章