お問い合わせ内容
SAML認証を使用し、アイデンティティプロバイダー(IdP)としてDuoを使用するセキュアクライアントリモートアクセス(SCA)を使用してVPNaaS接続を確立しようとすると、次のエラーが発生します。
- SSO認証要求を処理できませんでした。システム管理者に問い合わせてください
- Relaystateの復号化に失敗しました
同じIdPおよびDuo設定を使用した認証は、ZTNA(Zero Trust Network Access)では正常に機能しますが、VPN接続では失敗します。 Duoでは、ZTNAおよびVPN用に2つの異なるアプリケーションが設定されており、どちらも同じIdPを使用します。
環境
- テクノロジー:ソリューションサポート(SSPT – 契約が必要)
- サブテクノロジー:セキュアアクセス – セキュアクライアントリモートアクセス(VPN、ポスチャ、プライベートリソース)
- 認証方法:Duo IdPを使用したSAML
- 2つのDuoアプリケーションを構成:1つはZTNA、もう1つはVPN
- 認証はZTNAで動作し、VPNでは失敗する
- ソフトウェアバージョン:すべて
- 最近のハードウェア/ソフトウェアバージョンの変更は指定されていません
解決策
この問題は、VPN用DuoアプリケーションのエンティティID(VID)とアサーションコンシューマサービス(ACS)URLの設定を修正することで解決しました。 正しいメタデータがSecure Accessからダウンロードされ、VPN Duoアプリケーションにアップロードされたため、SAMLリレー状態の復号エラーが解決されました。
- CSAダッシュボードにログインします。 Connect > Enduser Connectivity -> Virtual Private Networksの順に選択します。 接続しているプロファイルを確認します。
- そのプロファイルをクリックして、編集します。 Authentication タブに移動します。
- セキュアアクセス用のSAMLメタデータをダウンロードします。
- entityID="https://X.vpn.sse.cisco.com/saml/sp/metadata/saml"および<AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://X.vpn.sse.cisco.com/+CSCOE+/saml/sp/acs?tgname=Profilename"></AssertionConsumerService>を確認します
- entityIDおよびAssertionConsumerServiceが、VPN SSO認証用に設定されたDuoアプリケーションに一致していることを確認します。
原因
Duo VPNアプリケーションでエンティティIDとACS URLが正しく設定されていないため、SAMLリレー状態の暗号化解除に失敗しました。ZTNA認証が同じIdPで動作しているにもかかわらず、Duo for VPNに正しい設定が存在しませんでした。Secure Accessの正確なメタデータを使用してDuo VPNアプリケーションを更新することで、問題が解決しました。
関連コンテンツ
フィードバック