Cloud Identity Engine (CIE) を使用した SAML 認証が失敗し、システム ログに「CSP ID が一致しません」というメッセージが表示される

• 認証プロファイルは、SAML プロバイダーとして Cloud Identity Engine (CIE) を使用するように構成されています。
• クライアント認証が失敗し、システム ログ ( show log system ) および authd.log に次のメッセージが表示されます。

Failed to parse CAS token from client 'xxx.xxx.xxx.xxx' from 'https://cloud-auth.jp.apps.paloaltonetworks.com/auth' with auth_session_id 
'********-****-****-****-************' : CSP ID mismatch (received AAA vs on-device BBB) for CAS profile "********-****-****-****-************" ; 
tenant "<TENANT_ID>" ; region "<REGION>" ; username "<USERNAME>"

• Palo Alto 次世代ファイアウォール (NGFW)
• Cloud Identity Engine (CIE) が有効化されました
• CIE を SAML 認証プロバイダーとして使用するファイアウォール

エラー メッセージに表示されているように、CIE に関連付ける CSP ID (上記のサンプル ログ メッセージではAAA ) と、認証プロセスによってローカルにキャッシュされた CSP ID (上記のサンプル ログ メッセージではBBB ) が異なります。

この問題は、次のCLIコマンドを使用して authd プロセスを再起動することで解決できます。

> debug software restart process authd