Die SAML-Authentifizierung mit Cloud Identity Engine (CIE) schlägt mit der Meldung „CSP-ID stimmt nicht überein“ in den Systemprotokollen fehl.

Die SAML-Authentifizierung mit Cloud Identity Engine (CIE) schlägt mit der Meldung „CSP-ID stimmt nicht überein“ in den Systemprotokollen fehl.

4489
Created On 06/12/24 01:40 AM - Last Modified 01/03/25 03:57 AM


Symptom


  • Das Authentifizierungsprofil ist so konfiguriert, dass Cloud Identity Engine (CIE) als SAML-Anbieter verwendet wird.
  • Die Client-Authentifizierung schlägt mit der folgenden Meldung im Systemprotokoll ( show log system ) und authd.log fehl.
Failed to parse CAS token from client 'xxx.xxx.xxx.xxx' from 'https://cloud-auth.jp.apps.paloaltonetworks.com/auth' with auth_session_id 
'********-****-****-****-************' : CSP ID mismatch (received AAA vs on-device BBB) for CAS profile "********-****-****-****-************" ; 
tenant "<TENANT_ID>" ; region "<REGION>" ; username "<USERNAME>"




Environment


  • Palo Alto Firewalls der nächsten Generation (NGFW)
  • Cloud Identity Engine (CIE) ist aktiviert
  • Firewalls, die CIE als SAML-Authentifizierungsanbieter verwenden

Cause


Wie in der Fehlermeldung angezeigt, sind die CSP-ID, die CIE zuordnet ( AAA in der obigen Beispiel-Protokollnachricht), und die lokal vom Authd-Prozess zwischengespeicherte CSP-ID ( BBB in der obigen Beispiel-Protokollnachricht) unterschiedlich.

Resolution


Dieses Problem kann behoben werden, indem der Authd-Prozess mit dem folgenden CLI-Befehl neu gestartet wird:

> debug software restart process authd
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010z5HCAQ&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language