「max_clock_skew」時間が長いためにSAML認証が失敗する

• SAML 認証が失敗する
• Authd.log(mp-log authd.logを除く)は、60秒以上のmax_clock_skewを表示します

-0600 SAML message from IdP " https://sts.xyzq.net/75d3/" (server profile "Max_Azure_SP") was created in the future (not_before "2023-01-08T15:46:59.518Z" - max_clock_skew 60 > now Sun Jan 8 09:38:09 2023 )

• Security Assertion Markup Language (SAML) (セキュリティ アサーション マークアップ言語 (SAML))
• 認証
• パノラマまたはパロアルトNGFWファイアウォール

• デフォルトでは、最大クロック スキューは 60 秒に設定されています。
• IdP とファイアウォール/パノラマの認証がこの時間を超えると、認証は失敗します。
• 一般的な理由の 1 つは、ファイアウォール/パノラマのローカル時刻が NTP と同期していないことです。
• NTPが同期されている場合でも、IdPと認証デバイス(ファイアウォール/パノラマ)の間にかなりの遅延がある場合、問題が発生する可能性があります。

1. NTPサーバー接続障害のトラブルシューティング方法に記載されているトラブルシューティング手順に従います
2. [最大クロック スキュー] 設定を変更します。
   1. NGFW の場合は、[ Device > Server Profile] > [SAML Identity Provider] > [SAML IdP name] > [Maximum Clock Skew (seconds)] に移動します。
   2. パノラマの場合は、[パノラマ] > [サーバー プロファイル] >に移動し、[SAML ID プロバイダー] > [SAML IdP 名] > [最大クロック スキュー (秒)] に移動します

• 「最大クロックスキュー」設定は、ファイアウォールがIdPメッセージを検証するときに、IdPのシステム時間とファイアウォール/パノラマとの間の許容差(秒単位)です。
• デフォルト値は 60 で、範囲は 1 〜 900 です。