Integracja jednokrotnego logowania (SSO) z Microsoft Entra z aplikacją Cisco Secure Firewall — Bezpieczny Klient
W tym artykule dowiesz się, jak zintegrować Cisco Secure Firewall - Secure Client z Microsoft Entra ID. Po zintegrowaniu aplikacji Cisco Secure Firewall — Secure Client z identyfikatorem Microsoft Entra ID można wykonywać następujące czynności:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Cisco Secure Firewall - Secure Client.
- Umożliw swoim użytkownikom automatyczne logowanie się do Cisco Secure Firewall – Secure Client za pomocą ich kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Wymagania wstępne
W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:
- Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz Utworzyć konto bezpłatnie.
- Jedna z następujących ról:
- Subskrypcja Cisco Secure Firewall - Secure Client z włączonym jednokrotnym logowaniem (SSO).
Opis scenariusza
W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.
- Cisco Secure Firewall – Bezpieczny klient obsługuje tylko jednokrotne logowanie inicjowane przez IDP.
Dodawanie aplikacji Cisco Secure Firewall — secure client z galerii
Aby skonfigurować integrację aplikacji Cisco Secure Firewall — Secure Client z identyfikatorem Microsoft Entra ID, należy dodać aplikację Cisco Secure Firewall — Secure Client z galerii do listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
- W sekcji Dodawanie z galerii wpisz Cisco Secure Firewall - Secure Client w polu wyszukiwania.
- Wybierz pozycję Cisco Secure Firewall - Secure Client z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego środowiska dzierżawy, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację jednokrotnego logowania. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfiguracja i testowanie Jednokrotnego logowania Microsoft Entra dla Cisco Secure Firewall - Secure Client
Skonfiguruj i przetestuj Microsoft Entra SSO z Cisco Secure Firewall — Secure Client, używając użytkownika testowego o nazwie B.Simon. Aby jednokrotne logowanie (SSO) działało, należy ustanowić relację połączenia między użytkownikiem systemu Microsoft Entra a powiązanym użytkownikiem w Cisco Secure Firewall - Secure Client.
Aby skonfigurować i przetestować Microsoft Entra logowanie jednokrotne z Cisco Secure Firewall – Secure Client, wykonaj następujące kroki:
-
Skonfiguruj logowanie jednokrotne Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Utwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z użytkownikiem B.Simon.
- Przypisz testowego użytkownika Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
-
Skonfiguruj aplikację Cisco Secure Firewall — bezpieczne logowanie jednokrotne klienta — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Utwórz użytkownika testowego Cisco Secure Firewall - Secure Client - aby uzyskać odpowiednik użytkownika B.Simon w Cisco Secure Firewall - Secure Client połączonego z reprezentacją użytkownika w usłudze Microsoft Entra.
- Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
Konfiguracja jednokrotnego logowania Microsoft Entra
Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do Tożsamość>Aplikacje>Aplikacje przedsiębiorstwa>Cisco Secure Firewall - Secure Client>Logowanie jednokrotne.
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę edycji/pióra dla podstawowej konfiguracji protokołu SAML, aby edytować ustawienia.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wprowadź wartości następujących pól:
W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca:
https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca:
https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>
Uwaga
<Tunnel_Group_Name>jest rozróżniana wielkość liter, a wartość nie może zawierać kropek "." ani ukośników "/".Uwaga
Aby uzyskać wyjaśnienia dotyczące tych wartości, skontaktuj się z pomocą techniczną firmy Cisco TAC. Zaktualizuj te wartości za pomocą rzeczywistego identyfikatora i adresu URL odpowiedzi dostarczonego przez firmę Cisco TAC. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej aplikacji Cisco Secure Firewall — Secure Client. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać plik certyfikatu i zapisać go na komputerze.
W sekcji Konfigurowanie aplikacji Cisco Secure Firewall — Secure Client skopiuj odpowiednie adresy URL zgodnie z wymaganiami.
Uwaga
Jeśli chcesz zintegrować wiele docelowych serwerów (TGT), musisz dodać wiele wystąpień aplikacji Cisco Secure Firewall - Secure Client z galerii. Możesz również załadować własny certyfikat w usłudze Microsoft Entra ID dla wszystkich instancji aplikacji. W ten sposób można mieć ten sam certyfikat dla aplikacji, ale można skonfigurować inny identyfikator i adres URL odpowiedzi dla każdej aplikacji.
Tworzenie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
- Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
- We właściwościach użytkownika wykonaj następujące kroki:
- W polu Nazwa wyświetlana, wprowadź
B.Simon. -
W polu Nazwa główna użytkownika wprowadź username@companydomain.extension. Na przykład
B.Simon@contoso.com. - Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
- Wybierz pozycję Przejrzyj i utwórz.
- W polu Nazwa wyświetlana, wprowadź
- Wybierz pozycję Utwórz.
Przypisywanie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do aplikacji Cisco Secure Firewall — Secure Client.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Cisco Secure Firewall - Secure Client.
- Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
- Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
- W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
- Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
- W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.
Skonfiguruj zaporę Cisco Secure Firewall — bezpieczne logowanie SSO (Single Sign-On) klienta
Najpierw zrobisz to w CLI, a później możesz wrócić i wykonać przegląd ASDM w innym czasie.
Nawiąż połączenie z urządzeniem sieci VPN. Będziesz używać urządzenia ASA z uruchomioną wersją kodu 9.8, a klienci sieci VPN będą w wersji 4.6 lub nowszej.
Najpierw utworzysz punkt zaufania i zaimportujesz certyfikat SAML.
config t crypto ca trustpoint AzureAD-AC-SAML revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML -----BEGIN CERTIFICATE----- … PEM Certificate Text from download goes here … -----END CERTIFICATE----- quitNastępujące polecenia skonfigurują dostawcę tożsamości SAML.
webvpn saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) trustpoint idp AzureAD-AC-SAML trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here) no force re-authentication no signature base-url https://my.asa.comTeraz możesz zastosować uwierzytelnianie SAML do konfiguracji tunelu sieci VPN.
tunnel-group AC-SAML webvpn-attributes saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/ authentication saml end write memUwaga
Istnieje obejście związane z konfiguracją dostawcy tożsamości SAML. Jeśli wprowadzisz zmiany w konfiguracji IdP, musisz usunąć konfigurację „saml identity-provider” z grupy tunelu i ponownie ją zastosować, aby zmiany weszły w życie.
Tworzenie użytkownika testowego dla Cisco Secure Firewall - Secure Client
W tej sekcji utworzysz użytkownika Britta Simon w aplikacji Cisco Secure Firewall — Secure Client. We współpracy z zespołem pomocy technicznej Cisco Secure Firewall - Secure Client dodaj użytkowników na platformie Cisco Secure Firewall - Secure Client. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.
Testowanie SSO (logowania jednokrotnego)
W tej sekcji przetestujesz konfigurację jednokrotnego logowania usługi Microsoft Entra z następującymi opcjami.
- Kliknij opcję Przetestuj tę aplikację, a powinna nastąpić automatyczna autoryzacja w aplikacji Cisco Secure Firewall - Secure Client, dla której skonfigurowano logowanie jednokrotne (SSO).
- Możesz użyć Microsoft Access Panel. Po kliknięciu kafelka Cisco Secure Firewall - Secure Client w Panelu dostępu powinno nastąpić automatyczne logowanie się do aplikacji Cisco Secure Firewall - Secure Client, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat panelu dostępu, zobacz Introduction to the Access Panel (Wprowadzenie do panelu dostępu).
Powiązana zawartość
Po skonfigurowaniu zapory Cisco Secure Firewall oraz bezpiecznego klienta możesz wymusić kontrolę sesji, która w czasie rzeczywistym chroni przed eksfiltracją i infiltracją poufnych danych organizacji. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla aplikacji w chmurze.