L’authentification SAML échoue en raison d’un temps de « max_clock_skew » élevé

• Échec de l’authentification SAML
• Authd.log (moins mp-log authd.log) affiche max_clock_skew de 60 secondes ou plus

-0600 SAML message from IdP " https://sts.xyzq.net/75d3/" (server profile "Max_Azure_SP") was created in the future (not_before "2023-01-08T15:46:59.518Z" - max_clock_skew 60 > now Sun Jan 8 09:38:09 2023 )

• Langage SAML (Security Assertion Markup Language)
• Authentification
• Pare-feu Panorama ou Palo Alto NGFW

• Par défaut, un décalage d’horloge maximal de 60 secondes est configuré/acceptable.
• Si l’authentification IdP et pare-feu/Panorama dépasse ce délai, l’authentification échoue.
• L’une des raisons courantes est que l’heure locale du pare-feu/Panorama n’est pas synchronisée avec son NTP.
• Même lorsque NTP est synchronisé, le problème peut se produire s’il y a une latence considérable entre l’IdP et le périphérique d’authentification (pare-feu/Panorama).

1. Suivez les étapes de dépannage documentées dans Comment résoudre l’échec de la connexion au serveur NTP
2. Modifiez le paramètre d’inclinaison de l’horloge maximale.
   1. Pour NGFW, accédez à Profil de > de serveur de périphérique > Fournisseur d’identité SAML > [Nom de l’IdP SAML] > Décalage d’horloge maximal (secondes)
   2. Pour Panorama, accédez à Profils de serveur Panorama > > Fournisseur d’identité SAML > [Nom du fournisseur d’identité SAML] > Décalage d’horloge maximal (secondes)

• Le paramètre « Max clock skew » est la différence autorisée en secondes entre les temps système de l’IdP et du pare-feu/Panorama lorsque le pare-feu valide les messages IdP.
• La valeur par défaut est 60 et la plage est comprise entre 1 et 900.