مسألة
عند محاولة إنشاء اتصال VPNaS باستخدام Secure Client Remote Access مع مصادقة SAML و Duo كموفر الهوية (IdP)، يتم ملاحظة هذا الخطأ:
- فشل عند معالجة طلب مصادقة SSO. الرجاء الاتصال بمسؤول النظام
- فشل فك تشفير حالة إعادة التحديد
تعمل المصادقة مع تكوين معرف P و Duo نفسه بنجاح ل ZTNA (الوصول إلى الشبكة بدون ثقة)، ولكنها تفشل لاتصالات VPN. هناك تطبيقان منفصلان تم تكوينهما في Duo ل ZTNA و VPN، وكلاهما يستخدم نفس معرف P.
البيئة
- التقنية: دعم الحلول (SSPT - العقد مطلوب)
- التقنية الفرعية: الوصول الآمن - الوصول الآمن عن بعد للعميل (VPN، الوضع، المورد الخاص)
- أسلوب المصادقة: SAML مع Duo IDp
- تم تكوين تطبيقين ثنائيين: واحد ل ZTNA، وواحد ل VPN
- تعمل المصادقة ل ZTNA، وتفشل ل VPN
- إصدار البرامج: الكل
- لم يتم تحديد تغييرات حديثة في إصدار الأجهزة/البرامج
قرار
تم حل المشكلة عن طريق تصحيح تكوين معرف الكيان وعنوان URL لخدمة المستهلك لتأكيد الخدمة (ACS) على التطبيق الثنائي للشبكة الخاصة الظاهرية (VPN). تم تنزيل بيانات التعريف الصحيحة من "الوصول الآمن" وتحميلها إلى تطبيق VPN Duo، الذي حل خطأ فك تشفير حالة إعادة تحديد SAML.
- قم بتسجيل الدخول إلى لوحة معلومات CSA. انتقل إلى الاتصال > اتصال المستخدم النهائي -> الشبكات الخاصة الظاهرية. اكتشف ملف التعريف الذي تتصل به.
- انقر على ذلك التوصيف ويحرر. انتقل إلى علامة التبويب المصادقة.
- قم بتنزيل بيانات تعريف SAML للوصول الآمن.
- تحقق من EntityID=https://X.vpn.sse.cisco.com/saml/sp/metadata/saml" و<ConfirmationConsumerService index="0" هوDefault="true" binding="urn:oasis:names:tc:saml:2.0:bindings:http-post" location="https://X.vpn.sse.cisco.com/+CSCOE+/saml/sp/acs?tgname=اسم الملف"></ConfirmationConsumerService>
- تأكد من تطابق EntityID و ConfirmationConsumerService مع التطبيق الثنائي الذي تم تكوينه لمصادقة VPN SSO.
السبب
نتج عن التكوين الخاطئ لمعرف الكيان وعنوان ACS URL على تطبيق Duo VPN فشل فك تشفير حالة إعادة تحديد SAML. لم يكن التكوين الصحيح موجودا في Duo للشبكة الخاصة الظاهرية (VPN)، على الرغم من أن مصادقة ZTNA كانت تعمل بنفس معرف P. أدى تحديث تطبيق Duo VPN باستخدام بيانات تعريف دقيقة من Secure Access إلى حل المشكلة.
المحتوى ذي الصلة
التعليقات