Falla la autenticación SAML de VPNaaS con "Falla el descifrado del estado de retransmisión" Error al utilizar Duo IdP

Opciones de descarga

  • PDF     (234.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:19 de febrero de 2026
ID del documento:225503

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Problema

Cuando se intenta establecer una conexión VPNaaS utilizando Secure Client Remote Access con autenticación SAML y Duo como proveedor de identidad (IdP), se observa este error:

  • Error al procesar la solicitud de autenticación de SSO. Póngase en contacto con el administrador del sistema
  • Error al descifrar el estado de retransmisión

La autenticación con la misma configuración IdP y Duo funciona correctamente para ZTNA (acceso a red de confianza cero), pero falla para las conexiones VPN. Hay dos aplicaciones separadas configuradas en Duo para ZTNA y VPN, ambas con el mismo IdP.

Entorno

  • Tecnología: Asistencia para soluciones (SSPT, contrato necesario)
  • Subtecnología: Acceso seguro: acceso remoto seguro con cliente (VPN, estado, recurso privado)
  • método de autentificación: SAML con Duo IdP
  • Dos aplicaciones Duo configuradas: uno para ZTNA, otro para VPN
  • La autenticación funciona para ZTNA, falla para VPN
  • Versión del software: ALL
  • No se han especificado cambios recientes en la versión de hardware/software

Resolución

 El problema se resolvió al corregir la configuración de la URL de Entity ID y Assertion Consumer Service (ACS) en la aplicación Duo para VPN. Los metadatos correctos se descargaron de Secure Access y se cargaron en la aplicación VPN Duo, lo que resolvió el error de descifrado del estado de retransmisión SAML.

  1. Inicie sesión en el panel de CSA. Vaya a Conexión > Conectividad del usuario final -> Redes privadas virtuales. Descubra el perfil al que está conectado. 
  2. Haga clic en ese perfil y edite. Vaya a la pestaña Authentication.
  3. Descargue los metadatos SAML para Secure Access.
  4. Compruebe entityID="https://X.vpn.sse.cisco.com/saml/sp/metadata/saml" y <AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://X.vpn.sse.cisco.com/+CSCOE+/saml/sp/acs?tgname=Profilename"></AssertionConsumerService>
  5. Asegúrese de que entityID y AssertionConsumerService coincidan con la aplicación Duo configurada para la autenticación SSO de VPN.

Causa

La configuración incorrecta del ID de entidad y la URL ACS en la aplicación Duo VPN dio lugar a la falla de descifrado del estado de retransmisión SAML. La configuración correcta no estaba presente en Duo para VPN, a pesar de que la autenticación ZTNA funcionaba con el mismo IdP. La actualización de la aplicación Duo VPN con metadatos precisos de Secure Access resolvió el problema.

Contenido relacionado

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
11-Mar-2026
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Amit Arora
    Ingeniero de consultoría técnica

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos