SAML 身份验证由于“max_clock_skew”时间过长而失败

• SAML 身份验证失败
• Authd.log（小于 MP-log authd.log）显示 60 秒或更长max_clock_skew

-0600 SAML message from IdP " https://sts.xyzq.net/75d3/" (server profile "Max_Azure_SP") was created in the future (not_before "2023-01-08T15:46:59.518Z" - max_clock_skew 60 > now Sun Jan 8 09:38:09 2023 )

• 安全断言标记语言 （SAML）
• 认证
• Panorama 或 Palo Alto NGFW 防火墙

• 默认情况下，最大时钟偏差为 60 秒是配置/可接受的。
• 如果 IdP 和防火墙/全景身份验证超过此时间，身份验证将失败。
• 一个常见的原因是防火墙/Panorama 的本地时间与其 NTP 不同步。
• 即使 NTP 是同步的，如果 IdP 和身份验证设备（防火墙/全景图）之间存在相当大的延迟，也可能会出现此问题。

1. 按照如何对 NTP 服务器连接失败进行故障排除中记录的故障排除步骤进行操作
2. 更改“最大时钟偏差”设置。
   1. 对于 NGFW，请转到 设备>服务器配置文件> SAML 身份提供商> [SAML IdP 名称] > 最大时钟偏差（秒）
   2. 对于 Panorama，请转到 Panorama > 服务器配置文件> SAML 身份提供商> [SAML IdP 名称] > 最大时钟偏差（秒）

• “最大时钟偏差”设置是当防火墙验证 IdP 消息时，IdP 和防火墙/全景图的系统时间之间允许的秒数差。
• 默认值为 60，范围为 1 到 900。