Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con Cisco Secure Firewall: - Secure Client
En este tutorial, obtendrá información sobre cómo integrar Cisco Secure Firewall: - Secure Client con Microsoft Entra ID. Al integrar Cisco Secure Firewall: - Secure Client con Microsoft Entra ID, puede hacer lo siguiente:
- Controlar en Microsoft Entra ID quién tiene acceso a Cisco Secure Firewall: - Secure Client.
- Permitir que los usuarios inicien sesión automáticamente en Cisco Secure Firewall: - Secure Client con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Requisitos previos
Para empezar, necesitas los siguientes elementos:
- Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
- Una suscripción habilitada para el inicio de sesión único (SSO) en Cisco Secure Firewall: - Secure Client.
Descripción del escenario
En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.
- Cisco Secure Firewall: - Secure Client solo admite el inicio de sesión único iniciado por IDP.
Agregar Cisco Secure Firewall: - Secure Client desde la galería
Para configurar la integración de Cisco Secure Firewall: - Secure Client en Microsoft Entra ID, usted necesita agregar Cisco Secure Firewall: - Secure Client desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba Cisco Secure Firewall: - Secure Client en el cuadro de búsqueda.
- Seleccione Cisco Secure Firewall - Secure Client en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puedes agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para Cisco Secure Firewall - Secure Client
Configure y pruebe el inicio de sesión único de Microsoft Entra con Cisco Secure Firewall - Secure Client mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Cisco Secure Firewall - Secure Client.
Para configurar y probar el inicio de sesión único de Microsoft Entra con Cisco Secure Firewall - Secure Client, siga estos pasos:
- Configure el inicio de sesión único de Microsoft Entra, para que los usuarios puedan usar esta característica.
- Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
- Configuración del inicio de sesión único en Cisco Secure Firewall - Secure Client, para configurar los valores del inicio de sesión único en la aplicación.
- Creación de un usuario de prueba de Cisco Secure Firewall - Secure Client: para tener un homólogo de B.Simon en Cisco Secure Firewall - Secure Client que esté vinculado a la representación del usuario en Microsoft Entra.
- Prueba del inicio de sesión único : para comprobar si la configuración funciona.
Configuración del inicio de sesión único de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Cisco Secure Firewall - Secure Client>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configurar el inicio de sesión único con SAML, haga clic en el icono de edición o con forma de lápiz para abrir el cuadro de diálogo Configuración básica de SAML y modificar la configuración.
En la página Configurar el inicio de sesión único con SAML, escriba los valores de los siguientes campos:
En el cuadro de texto Identificador, escriba una dirección URL con el patrón siguiente:
https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>
En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón:
https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>
Nota:
<Tunnel_Group_Name>
distingue mayúsculas de minúsculas y el valor no debe contener puntos "." ni barras diagonales "/".Nota:
Para aclarar estos valores, póngase en contacto con el soporte técnico de Cisco TAC. Actualice estos valores con los valores reales de identificador y URL de respuesta proporcionados por Cisco TAC. Póngase en contacto con el equipo de soporte técnico de Cisco Secure Firewall - Secure Client para obtener estos valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.
En la página Configuración del inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque Certificado (Base64) y seleccione Descargar para descargar el archivo del certificado y guardarlo en el equipo.
En la sección Configurar Cisco Secure Firewall - Secure Client, copie las direcciones URL adecuadas según sus requisitos.
Nota:
Si desea incorporar varios vales TGT del servidor, debe agregar varias instancias de la aplicación Cisco Secure Firewall - Secure Client desde la galería. También puede optar por cargar su propio certificado en Microsoft Entra ID para todas estas instancias de aplicación. De este modo puede tener el mismo certificado para las aplicaciones y a la vez configurar un identificador y una dirección URL de respuesta diferentes para cada aplicación.
Cree un usuario de prueba de Microsoft Entra
En esta sección, se crea un usuario llamado B.Simon.
- Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
- Ve a Identidad>Usuarios>Todos los usuarios.
- Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, sigue estos pasos:
- En el campo Nombre para mostrar, escribe
B.Simon
. - En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
- Selecciona Revisar + crear.
- En el campo Nombre para mostrar, escribe
- Selecciona Crear.
Asignación del usuario de prueba de Microsoft Entra
En esta sección, va a permitir que B.Simon use el inicio de sesión único concediéndole acceso a Cisco Secure Firewall - Secure Client.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Cisco Secure Firewall - Secure Client.
- En la página de información general de la aplicación, seleccione Usuarios y grupos.
- Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
- En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon de la lista de usuarios y haz clic en el botón Seleccionar de la parte inferior de la pantalla.
- Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
- En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Configuración del inicio de sesión único de Cisco Secure Firewall - Secure Client
En primer lugar, lo hará en la CLI. Después, podrá volver a realizar un tutorial de ASDM en otro momento.
Conéctese a su dispositivo VPN, va a usar una ASA que ejecuta el entrenamiento de código de la versión 9.8 y los clientes VPN tendrán la versión 4.6 o posterior.
En primer lugar, creará un Trustpoint e importará el certificado SAML.
config t crypto ca trustpoint AzureAD-AC-SAML revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML -----BEGIN CERTIFICATE----- … PEM Certificate Text from download goes here … -----END CERTIFICATE----- quit
Los siguientes comandos aprovisionarán el IdP de SAML.
webvpn saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) trustpoint idp AzureAD-AC-SAML trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here) no force re-authentication no signature base-url https://my.asa.com
Ahora puede aplicar la autenticación SAML a una configuración de túnel VPN.
tunnel-group AC-SAML webvpn-attributes saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/ authentication saml end write mem
Nota:
Hay un trabajo con la configuración del IdP de SAML. Si realiza cambios en la configuración de IdP, deberá quitar la configuración del proveedor de identidades de SAML del grupo de túnel y volver a aplicarla para que los cambios surtan efecto.
Creación de un usuario de prueba de Cisco Secure Firewall - Secure Client
En esta sección, creará un usuario llamado Britta Simon en Cisco Secure Firewall - Secure Client. Trabaje con el equipo de soporte técnico de Cisco Secure Firewall - Secure Client para agregar los usuarios a la plataforma de Cisco Secure Firewall - Secure Client. Los usuarios se tienen que crear y activar antes de usar el inicio de sesión único.
Prueba de SSO
En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
- Haga clic en Probar esta aplicación y debería iniciar sesión automáticamente en la instancia de Cisco Secure Firewall - Secure Client para la que configuró el inicio de sesión único
- Puede usar el Panel de acceso de Microsoft. Al hacer clic en el icono de Cisco Secure Firewall - Secure Client en el Panel de acceso, debería iniciar sesión automáticamente en la instancia de Cisco Secure Firewall - Secure Client para la que configuró el inicio de sesión único. Para más información sobre el Panel de acceso, consulte Introducción al Panel de acceso.
Pasos siguientes
Una vez que haya configurado Cisco Secure Firewall - Secure Client, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.