La autenticación SAML con Cloud Identity Engine (CIE) falla con el mensaje "No coincide el ID de CSP" en los registros del sistema

La autenticación SAML con Cloud Identity Engine (CIE) falla con el mensaje "No coincide el ID de CSP" en los registros del sistema

4489
Created On 06/12/24 01:40 AM - Last Modified 01/03/25 03:59 AM


Symptom


  • El perfil de autenticación está configurado para utilizar Cloud Identity Engine (CIE) como proveedor de SAML.
  • La autenticación del cliente falla con el siguiente mensaje en el registro del sistema ( show log system ) y authd.log.
Failed to parse CAS token from client 'xxx.xxx.xxx.xxx' from 'https://cloud-auth.jp.apps.paloaltonetworks.com/auth' with auth_session_id 
'********-****-****-****-************' : CSP ID mismatch (received AAA vs on-device BBB) for CAS profile "********-****-****-****-************" ; 
tenant "<TENANT_ID>" ; region "<REGION>" ; username "<USERNAME>"




Environment


  • Cortafuegos de próxima generación (NGFW) de Palo Alto
  • Cloud Identity Engine (CIE) está activado
  • Cortafuegos que utilizan CIE como proveedor de autenticación SAML

Cause


Como se muestra en el mensaje de error, el ID de CSP que asocia CIE ( AAA en el mensaje de registro de muestra anterior) y el ID de CSP almacenado en caché localmente por el proceso authd ( BBB en el mensaje de registro de muestra anterior) son diferentes.

Resolution


Este problema se puede resolver reiniciando el proceso authd con el siguiente comando de CLI:

> debug software restart process authd
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010z5HCAQ&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language