使用 Cloud Identity Engine (CIE) 的 SAML 身份验证失败,系统日志中显示“CSP ID 不匹配”消息

使用 Cloud Identity Engine (CIE) 的 SAML 身份验证失败,系统日志中显示“CSP ID 不匹配”消息

4489
Created On 06/12/24 01:40 AM - Last Modified 01/03/25 04:04 AM


Symptom


  • 身份验证配置文件配置为使用云身份引擎 (CIE) 作为 SAML 提供程序。
  • 客户端身份验证失败,系统日志(显示日志系统)和 authd.log 中显示以下消息。
Failed to parse CAS token from client 'xxx.xxx.xxx.xxx' from 'https://cloud-auth.jp.apps.paloaltonetworks.com/auth' with auth_session_id 
'********-****-****-****-************' : CSP ID mismatch (received AAA vs on-device BBB) for CAS profile "********-****-****-****-************" ; 
tenant "<TENANT_ID>" ; region "<REGION>" ; username "<USERNAME>"




Environment


  • Palo Alto 下一代防火墙 (NGFW)
  • Cloud Identity Engine (CIE) 已激活
  • 使用 CIE 作为 SAML 身份验证提供程序的防火墙

Cause


正如错误消息所示,关联 CIE 的 CSP ID(上述示例日志消息中的AAA )与 authd 进程本地缓存的 CSP ID(上述示例日志消息中的BBB )不同。

Resolution


可以通过使用以下CLI 命令重新启动 authd 进程来解决此问题:

> debug software restart process authd
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010z5HCAQ&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language