VPNaaS SAML-verificatie mislukt met " decodering van relaystatus mislukt" fout met Duo IdP

Downloadopties

PDF (235.0 KB)
Met Adobe Reader op diverse apparaten bekijken

Bijgewerkt:19 februari 2026

Document-id:225503

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

uitgeven

Wanneer u probeert een VPNaaS-verbinding tot stand te brengen met behulp van Secure Client Remote Access met SAML-verificatie en Duo als Identity Provider (IdP), wordt deze fout waargenomen:

Er is een fout opgetreden bij het verwerken van de SSO-verificatieaanvraag. Neem contact op met de systeembeheerder
Decodering van relaisstaat mislukt

Verificatie met dezelfde IdP- en Duo-configuratie werkt met succes voor ZTNA (Zero Trust Network Access), maar mislukt voor VPN-verbindingen. Er zijn twee afzonderlijke toepassingen geconfigureerd in Duo voor ZTNA en VPN, beide met dezelfde IdP.

milieu

Technologie: oplossingsondersteuning (SSPT - contract vereist)
Subtechnologie: Veilige toegang - Veilige externe toegang voor clients (VPN, houding, persoonlijke bronnen)
Verificatiemethode: SAML met Duo IdP
Twee Duo-toepassingen geconfigureerd: één voor ZTNA, één voor VPN
Authenticatie werkt voor ZTNA, mislukt voor VPN
Softwareversie: ALLE
Geen recente wijzigingen in de hardware-/softwareversie opgegeven

resolutie

Het probleem werd opgelost door de configuratie van de Entity ID en Assertion Consumer Service (ACS) URL op de Duo applicatie voor VPN te corrigeren. De juiste metagegevens werden gedownload van Secure Access en geüpload naar de VPN Duo-app, waardoor de SAML-relaystate-decoderingsfout werd opgelost.

Login op het CSA Dashboard. Ga naar Verbinden > Eindgebruikersconnectiviteit -> Virtuele privénetwerken. Bekijk het profiel waarmee u bent verbonden.
Klik op dat profiel en bewerk. Ga naar het tabblad Authenticatie.
Download de SAML-metagegevens voor veilige toegang.
Controleer entityID="https://X.vpn.sse.cisco.com/saml/sp/metadata/saml" en <AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://X.vpn.sse.cisco.com/+CSCOE+/saml/sp/acs?tgname=Profilename"></AssertionConsumerService>
Zorg ervoor dat entityID en AssertionConsumerService overeenkomen met de Duo-toepassing die is geconfigureerd voor VPN SSO-verificatie.

Oorzaak

Een verkeerde configuratie van de Entiteit-ID en ACS-URL op de Duo VPN-toepassing resulteerde in de SAML-relaystate-decoderingsfout. De juiste configuratie was niet aanwezig in Duo for VPN, hoewel ZTNA-verificatie met dezelfde IdP werkte. Het bijwerken van de Duo VPN-toepassing met nauwkeurige metagegevens van Secure Access heeft het probleem opgelost.