La autenticación SAML falla debido a un alto tiempo de "max_clock_skew"

• Error en la autenticación SAML
• Authd.log (menos mp-log authd.log) muestra max_clock_skew de 60 segundos o más

-0600 SAML message from IdP " https://sts.xyzq.net/75d3/" (server profile "Max_Azure_SP") was created in the future (not_before "2023-01-08T15:46:59.518Z" - max_clock_skew 60 > now Sun Jan 8 09:38:09 2023 )

• Lenguaje de marcado de aserción de seguridad (SAML)
• Autenticación
• Cortafuegos Panorama o NGFW de Palo Alto

• De forma predeterminada, se configura/acepta un sesgo de reloj máximo de 60 segundos.
• Si el IdP y la autenticación del firewall/Panorama superan este tiempo, se produce un error en la autenticación.
• Una razón común es que la hora local del firewall/Panorama no está sincronizada con su NTP.
• Incluso cuando NTP está sincronizado, el problema puede ocurrir si hay una latencia considerable entre el IdP y el dispositivo de autenticación (firewall/Panorama).

1. Siga los pasos de solución de problemas documentados en Cómo solucionar problemas de error de conexión del servidor NTP
2. Cambie la configuración de Inclinación máxima del reloj.
   1. Para NGFW, vaya a Perfil de dispositivo > servidor > proveedor de identidad SAML > [nombre del IdP de SAML] > Sesgo máximo del reloj (segundos)
   2. En Panorama, vaya a Panorama > Perfiles de servidor > proveedor de identidad SAML > [nombre del IdP de SAML] > Sesgo de reloj máximo (segundos)

• La configuración de "Inclinación máxima del reloj" es la diferencia permitida en segundos entre las horas del sistema del IdP y el firewall/Panorama cuando el firewall valida los mensajes del IdP.
• El valor predeterminado es 60 y el intervalo es de 1 a 900.