SAML-Authentifizierung schlägt aufgrund hoher "max_clock_skew"-Zeit fehl

• Fehler bei der SAML-Authentifizierung
• Authd.log (abzüglich MP-LOG-authd.log) zeigt max_clock_skew von 60 Sekunden oder mehr an

-0600 SAML message from IdP " https://sts.xyzq.net/75d3/" (server profile "Max_Azure_SP") was created in the future (not_before "2023-01-08T15:46:59.518Z" - max_clock_skew 60 > now Sun Jan 8 09:38:09 2023 )

• Security Assertion Markup Language (SAML)
• Authentifizierung
• Panorama- oder Palo Alto NGFW-Firewall

• Standardmäßig ist ein maximaler Taktversatz von 60 Sekunden konfiguriert/akzeptabel.
• Wenn der IdP und die Firewall/Panorama-Authentifizierung diese Zeit überschreiten, schlägt die Authentifizierung fehl.
• Ein häufiger Grund ist, dass die Ortszeit der Firewall/Panorama nicht mit ihrem NTP synchronisiert ist.
• Auch wenn NTP synchronisiert ist, Das Problem kann auftreten, wenn zwischen dem IdP und dem Authentifizierungsgerät (Firewall/Panorama) eine erhebliche Latenz besteht.

1. Befolgen Sie die Schritte zur Fehlerbehebung, die unter Beheben von Fehlern bei der NTP-Serververbindung dokumentiert sind
2. Ändern Sie die Einstellung Max. Taktverzerrung.
   1. Wechseln Sie für NGFW zu Device > Server Profile > SAML Identity Provider > [SAML-IdP-Name] > Maximale Zeitabweichung (Sekunden)
   2. Wechseln Sie für Panorama zu Panorama > Serverprofile > SAML-Identitätsanbieter > [SAML-IdP-Name] > Maximale Zeitabweichung (Sekunden)

• Die Einstellung "Max. Zeitversatz" ist die zulässige Differenz in Sekunden zwischen den Systemzeiten des IdP und der Firewall/Panorama, wenn die Firewall IdP-Nachrichten validiert.
• Der Standardwert ist 60 und der Bereich liegt zwischen 1 und 900.