Поделиться через


Интеграция единого входа Microsoft Entra с Cisco Secure Firewall — Secure Client

В этой статье вы узнаете, как интегрировать безопасный брандмауэр Cisco — безопасный клиент с идентификатором Microsoft Entra. При интеграции Cisco Secure Firewall с Secure Client и идентификатором Microsoft Entra ID, вы можете:

  • Управляйте идентификатором Microsoft Entra, имеющим доступ к защищенному брандмауэру Cisco — secure Client.
  • Включите автоматический вход пользователей в Cisco Secure Firewall — безопасный клиент с помощью учетных записей Microsoft Entra.
  • Управляйте учетными записями в одном центральном месте.

Требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка Cisco Secure Firewall с поддержкой единого входа (SSO) для Secure Client.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Брандмауэр Cisco Secure — Secure Client поддерживает только IDP-инициированный SSO.

Чтобы настроить интеграцию Cisco Secure Firewall - Secure Client с Microsoft Entra ID, необходимо добавить Cisco Secure Firewall - Secure Client из галереи в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
  2. Перейдите к Identity>приложениям>корпоративным приложениям>Новое приложение.
  3. В разделе "Добавление из коллекции" в поле поиска введите Cisco Secure Firewall — Secure Client.
  4. Выберите безопасный брандмауэр Cisco — безопасный клиент на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и тестирование Microsoft Entra SSO для Cisco Secure Firewall — Secure Client

Настройте и проверьте единую идентификацию Microsoft Entra в Cisco Secure Firewall — Secure Client, используя тестового пользователя B.Simon. Для корректной работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в системе безопасности Cisco Secure Firewall — Secure Client.

Чтобы настроить и проверить единый вход Microsoft Entra в Cisco Secure Firewall — Secure Client, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
  2. Настройте Cisco Secure Firewall - Secure Client SSO, чтобы настроить настройки единого входа с клиентской стороны приложения.
    1. Создание тестового пользователя Cisco Secure Firewall — Secure Client необходимо для того, чтобы связать его с представлением пользователя B.Simon в Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройте единый вход в систему Microsoft Entra

Выполните следующие действия, чтобы активировать единый вход в систему Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к Identity>Applications>Enterprise applications>Cisco Secure Firewall - Secure Client>Single sign-on.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок "Изменить" (значок пера), чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить параметры.

    Снимок экрана показывает, как редактировать базовую конфигурацию SAML.

  5. На странице Настройка единого входа с помощью SAML введите значения для следующих полей:

    1. В текстовом поле Идентификатор введите URL-адрес в таком формате:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

    2. В текстовом поле URL-адрес ответа введите URL-адрес в таком формате:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

    Примечание.

    <Tunnel_Group_Name> учитывает регистр, и значение не должно содержать точки "." и косые черты "/".

    Примечание.

    Для получения дополнительной информации об этих значениях обратитесь в центр технической поддержки Cisco. Измените эти значения на фактические значения идентификатора и URL-адреса ответа, предоставленные сотрудниками центра технической поддержки Cisco. Чтобы получить эти значения, обратитесь в службу поддержки безопасных клиентов Cisco Secure Firewall . Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  6. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите пункт Сертификат (Base64) и щелкните Скачать, чтобы скачать файл сертификата. Сохраните этот файл на компьютере.

    Снимок экрана: ссылка на скачивание сертификата.

  7. В разделе "Настройка безопасного брандмауэра Cisco — безопасный клиент" скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    Снимок экрана показывает, как копировать URL-адреса конфигурации.

Примечание.

Если вы хотите добавить несколько TGT сервера, необходимо добавить несколько экземпляров Cisco Secure Firewall — приложения Secure Client из галереи. Вы также можете загрузить собственный сертификат в Microsoft Entra ID для всех этих экземпляров приложения. Таким образом, у вас может быть один и тот же сертификат для приложений, но для каждого приложения можно настроить разные идентификаторы и URL-адреса ответа.

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в центр администрирования Microsoft Entra как минимум Администратор пользователя.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле основного имени пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Просмотреть и создать.
  5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к защищенному брандмауэру Cisco — Secure Client.

  1. Войдите в центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
  2. Перейдите к Идентификация>Приложения>Корпоративные приложения>Cisco Secure Firewall - Secure Client.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка безопасного брандмауэра Cisco - безопасный клиент с единым входом (SSO)

  1. Вы собираетесь сначала выполнить этот процесс с помощью CLI, и, возможно, вернётесь к пошаговому руководству с ASDM в другое время.

  2. Подключитесь к вашему аппарату VPN. Вы будете использовать Adaptive Security Appliance (ASA) с версией ПО 9.8, а версии программного обеспечения для VPN-клиентов — 4.6 или более поздние.

  3. Для начала создайте точку доверия и импортируйте предоставленный сертификат SAML.

     config t
    
     crypto ca trustpoint AzureAD-AC-SAML
       revocation-check none
       no id-usage
       enrollment terminal
       no ca-check
     crypto ca authenticate AzureAD-AC-SAML
     -----BEGIN CERTIFICATE-----
     …
     PEM Certificate Text from download goes here
     …
     -----END CERTIFICATE-----
     quit
    
  4. Следующие команды позволят вам подготовить поставщика удостоверений SAML.

     webvpn
     saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
     url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
     url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
     trustpoint idp AzureAD-AC-SAML
     trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
     no force re-authentication
     no signature
     base-url https://my.asa.com
    
  5. Теперь вы можете применить проверку подлинности SAML к конфигурации VPN-туннеля.

    tunnel-group AC-SAML webvpn-attributes
       saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
       authentication saml
    end
    
     write mem
    

    Примечание.

    Для конфигурации поставщика удостоверений SAML существует обходной путь. При внесении изменений в конфигурацию IdP необходимо удалить конфигурацию провайдера удостоверений SAML из группы туннелей и повторно применить её, чтобы изменения вступили в силу.

Создайте тестового пользователя для Cisco Secure Firewall – Secure Client

В этом разделе описано, как создать пользователя Britta Simon в Cisco Secure Firewall — Secure Client. Обратитесь к группе поддержки Cisco Secure Firewall - Secure Client, чтобы добавить пользователей в платформу Cisco Secure Firewall - Secure Client. Перед использованием единого входа необходимо создать и активировать пользователей.

Проверка единого входа

В этом разделе вы тестируете конфигурацию однократного входа Microsoft Entra с помощью следующих параметров.

  • Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение Cisco Secure Firewall - Secure Client, для которого настроили единый вход
  • Вы можете использовать Панель доступа (Майкрософт). Щелкнув плитку "Безопасный брандмауэр Cisco — безопасный клиент" в Панель доступа, вы автоматически войдете в приложение "Безопасный брандмауэр Cisco — безопасный клиент", для которого настроили единый вход. См. дополнительные сведения о панели доступа

После настройки безопасного брандмауэра Cisco — безопасный клиент можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.