チュートリアル: Microsoft Entra シングル サインオン (SSO) と Cisco Secure Firewall - Secure Client の統合
このチュートリアルでは、Cisco Secure Firewall - Secure Client と Microsoft Entra ID を統合する方法について説明します。 Cisco Secure Firewall - Secure Client と Microsoft Entra ID を統合すると、次のことができます。
- Cisco Secure Firewall - Secure Client にアクセスできるユーザーの Microsoft Entra ID を制御します。
- ユーザーが自分の Microsoft Entra アカウントを使用して Cisco Secure Firewall - Secure Client に自動的にサインインできるようにします。
- 1 つの場所でアカウントを管理します。
前提条件
開始するには、次が必要です。
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- Cisco Secure Firewall - Secure Client でのシングル サインオン (SSO) が有効なサブスクリプションを提供します。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。
- Cisco Secure Firewall - Secure Client では、IDP によって開始される SSO のみがサポートされます。
ギャラリーからの Cisco Secure Firewall - Secure Client の追加
Cisco Secure Firewall - Secure Client の Microsoft Entra ID への統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Cisco Secure Firewall - Secure Client を追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
- [ギャラリーから追加する] セクションで、検索ボックスに「Cisco Secure Firewall - Secure Client」と入力します。
- 結果パネルから Cisco Secure Firewall - Secure Client を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。
Cisco Secure Firewall - Secure Client の Microsoft Entra SSO の構成とテスト
B.Simon というテスト ユーザーを使用して、Cisco Secure Firewall - Secure Client に対して Microsoft Entra SSO を構成してテストします。 SSO を機能させるには、Microsoft Entra ユーザーと Cisco Secure Firewall - Secure Client の関連ユーザーとの間にリンク関係を確立する必要があります。
Cisco Secure Firewall - Secure Client に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します。
- Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
- Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
- Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
- Cisco Secure Firewall - Secure Client SSO - 構成してアプリケーション側でシングル サインオン設定を構成します。
- Cisco Secure Firewall - Secure Client テスト ユーザーの作成 - Cisco Secure Firewall - Secure Client で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
- SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
次の手順に従って Microsoft Entra SSO を有効にします。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[Enterprise アプリケーション]>[Cisco Secure Firewall - Secure Client]>[シングル サインオン] を参照します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の編集 (ペン) アイコンをクリックして設定を編集します。
[SAML でシングル サインオンをセットアップします] ページで、次のフィールドの値を入力します。
[識別子] ボックスに、次の形式で URL を入力します。
https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>
[応答 URL] ボックスに、次のパターンを使用して URL を入力します。
https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>
注意
<Tunnel_Group_Name>
には大文字と小文字の区別があり、値にドット "." とスラッシュ "/" を含めることはできません。注意
これらの値の詳細については、Cisco TAC のサポートに問い合わせてください。 これらの値を実際の識別子と、Cisco TAC から提供された応答 URL の値で更新します。 これらの値を取得するには、Cisco Secure Firewall - Secure Client サポート チームに問い合わせてください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
[SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、[証明書 (Base64)] を見つけて、[ダウンロード] を選択し、証明書をダウンロードしてお使いのコンピューターに保存します。
Cisco Secure Firewall - Secure Client のセットアップに関するセクションで、要件に基づいて適切な URL をコピーします。
Note
サーバーの複数の TGT をオンボードする場合は、ギャラリーから Cisco Secure Firewall - Secure Client アプリケーションの複数のインスタンスを追加する必要があります。 これらすべてのアプリケーション インスタンスについて、Microsoft Entra ID に独自の証明書をアップロードすることもできます。 このようにアプリケーションに同じ証明書を使用できる一方で、アプリケーションごとに異なる識別子と応答 URL を構成することができます。
Microsoft Entra テスト ユーザーを作成する
このセクションでは、B.Simon というテスト ユーザーを作成します。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します。
- "表示名" フィールドに「
B.Simon
」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「
B.Simon@contoso.com
」のように入力します。 - [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
- [Review + create](レビュー + 作成) を選択します。
- "表示名" フィールドに「
- [作成] を選択します。
Microsoft Entra テスト ユーザーを割り当てる
このセクションでは、B.Simon に Cisco Secure Firewall - Secure Client へのアクセスを許可することで、このユーザーがシングル サインオンを使用できるようにします。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[Enterprise アプリケーション]>[Cisco Secure Firewall - Secure Client] を参照します。
- アプリの概要ページで、[ユーザーとグループ] を選択します。
- [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
- [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
- ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
- [割り当ての追加] ダイアログで、 [割り当て] をクリックします。
Cisco Secure Firewall - Secure Client SSO の構成
これは、最初に CLI で実行します。ASDM のチュートリアルは別のタイミングで実行する可能性があります。
VPN アプライアンスに接続します。9.8 code train を実行している ASA を使用することになり、VPN クライアントは 4.6 以降になります。
最初に、Trustpoint を作成し、SAML 証明書をインポートします。
config t crypto ca trustpoint AzureAD-AC-SAML revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML -----BEGIN CERTIFICATE----- … PEM Certificate Text from download goes here … -----END CERTIFICATE----- quit
次のコマンドを実行すると、SAML IdP がプロビジョニングされます。
webvpn saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) trustpoint idp AzureAD-AC-SAML trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here) no force re-authentication no signature base-url https://my.asa.com
これで、VPN トンネル構成に SAML 認証を適用できるようになります。
tunnel-group AC-SAML webvpn-attributes saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/ authentication saml end write mem
注意
SAML IdP の構成には回避策があります。 IdP の構成に変更を加えた場合は、変更を有効にするために、トンネル グループから SAML ID プロバイダーの構成を削除し、再度適用する必要があります。
Cisco Secure Firewall - Secure Client テスト ユーザーの作成
このセクションでは、Cisco Secure Firewall - Secure Client で Britta Simon というユーザーを作成します。 Cisco Secure Firewall - Secure Client サポート チームと協力して、Cisco Secure Firewall - Secure Client プラットフォームにこのユーザーを追加します。 シングル サインオンを使用する前に、ユーザーを作成し、有効化する必要があります。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
- [このアプリケーションをテストします] をクリックすると、SSO を設定した Cisco Secure Firewall - Secure Client に自動的にサインインします
- Microsoft アクセス パネルを使用することができます。 アクセス パネルで [Cisco Secure Firewall - Secure Client] タイルをクリックすると、SSO を設定した Cisco Secure Firewall - Secure Client に自動的にサインインします。 アクセス パネルの詳細については、アクセス パネルの概要に関する記事を参照してください。
次のステップ
Cisco Secure Firewall - Secure Client を構成した後、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。