La autenticación SAML falla esporádicamente con Azure

Consulta técnica sobre FortiEDR

DescripciónEste artículo cubre un problema esporádico donde la autenticación SAML entre FortiEDR Manager (SP) y Azure (IdP) de Microsoft puede fallar.
AlcanceAutenticación FortiEDR y SAML.
Solución

En los casos en que FortiEDR Manager está configurado para la autenticación SAML donde Azure actúa como proveedor de identidad, puede haber casos en los que las autenticaciones SAML fallan esporádicamente. Esto da como resultado que se muestre un mensaje de «error con la organización» en la página de inicio de sesión de FortiEDR Manager. Esto puede ser el resultado de un tiempo de desviación de SAML. Este es efectivamente un mecanismo de protección en FortiEDR Manager para garantizar que la afirmación SAML no sea ‘antigua’.

 

Esto se puede validar a través de dos opciones:

 

1) Los registros de FortiEDR Manager registrarán esto y registrarán lo siguiente:

 

2022-06-01 18:10:12.807 INFO 26500 [https-jsse-nio-443-exec-165] — ossecurity.saml.log.SAMLDefaultLogger: AuthNResponse;FAILURE;dirección IP; https://environment/saml/metadata/alias/1;https://sts.windows.net/ <assertion-id>/;;;org.opensaml.common.SAMLException: la respuesta no tiene ninguna afirmación válida que pasaría la validación del sujeto

 

Esta opción solo existe para clientes locales y alojados dedicados. FortiEDR TAC podrá ayudar con este paso de solución de problemas en todos los casos.

 

 

2) Usando el complemento del navegador web ‘SAML Tracer’. Esta es una extensión de navegador popular disponible en Chrome y Firefox que permite a un usuario rastrear y registrar sus solicitudes y respuestas de aserción SAML. Para ejecutar una captura de SAML Tracer, instale la extensión y ábrala. Esto se abrirá en una pequeña ventana. Reproduzca el problema iniciando sesión en FortiEDR Manager. Los datos rellenados en SAML Tracer se pueden ver ahora. La pestaña ‘SAML’ es más importante aquí. Se puede elegir la opción ‘Exportar’ para exportar la captura de SAML Tracer para revisarla y proporcionarla al TAC de FortiEDR.

 

 

Hay tres valores en el archivo JSON de respuesta de aserción SAML para identificar:

 

2a) El tiempo ‘IssueInstant’ (es decir, ‘IssueInstant=’2022-06-01T18:10:12.354Z’). Esta es la hora en que ocurrieron las solicitudes de autenticación SAML.

 

2b) Las condiciones del sujeto (‘NotBefore’ y ‘NotAfter’). El valor ‘IssueInstant’ debe estar dentro de estos rangos de condiciones.

 

2c) El AuthnInstant (es decir, ‘AuthnInstant=’2022-06-01T22:59:07.552Z’). Si este valor es más de 3600 segundos (1 hora) aparte del valor ‘IssueInstant’, FortiEDR Manager detectará el sesgo y rechazará la autenticación.

 

FortiEDR TAC puede aumentar este parámetro de desviación de SAML a pedido a través de un ticket de soporte.

 

Microsoft Azure usa un token de actualización principal (PTR) que se actualiza en función de un intervalo preconfigurado dentro de Azure. En algunos casos, esto puede demorar varias horas, si no días, lo que hace que la solicitud de autenticación SAML falle. Cerrar sesión manualmente en Azure y volver a iniciarla suele obligar a que se actualice este token, lo que permite que la autenticación SAML vuelva a funcionar.

Artículos relacionados  Cómo fortiedr protege contra el ransomware blackcat (ALPHV).

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *