Интеграция единого входа Microsoft Entra с Cisco Secure Firewall — Secure Client

В этой статье вы узнаете, как интегрировать безопасный брандмауэр Cisco — безопасный клиент с идентификатором Microsoft Entra. При интеграции Cisco Secure Firewall с Secure Client и идентификатором Microsoft Entra ID, вы можете:

• Управляйте идентификатором Microsoft Entra, имеющим доступ к защищенному брандмауэру Cisco — secure Client.
• Включите автоматический вход пользователей в Cisco Secure Firewall — безопасный клиент с помощью учетных записей Microsoft Entra.
• Управляйте учетными записями в одном центральном месте.

Требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • администратор облачных приложений
  • Владелец приложения.

• Подписка Cisco Secure Firewall с поддержкой единого входа (SSO) для Secure Client.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Брандмауэр Cisco Secure — Secure Client поддерживает только IDP-инициированный SSO.

Добавление Cisco Secure Firewall - Secure Client из коллекции

Чтобы настроить интеграцию Cisco Secure Firewall - Secure Client с Microsoft Entra ID, необходимо добавить Cisco Secure Firewall - Secure Client из галереи в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
2. Перейдите к Identity>приложениям>корпоративным приложениям>Новое приложение.
3. В разделе "Добавление из коллекции" в поле поиска введите Cisco Secure Firewall — Secure Client.
4. Выберите безопасный брандмауэр Cisco — безопасный клиент на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и тестирование Microsoft Entra SSO для Cisco Secure Firewall — Secure Client

Настройте и проверьте единую идентификацию Microsoft Entra в Cisco Secure Firewall — Secure Client, используя тестового пользователя B.Simon. Для корректной работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в системе безопасности Cisco Secure Firewall — Secure Client.

Чтобы настроить и проверить единый вход Microsoft Entra в Cisco Secure Firewall — Secure Client, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
2. Настройте Cisco Secure Firewall - Secure Client SSO, чтобы настроить настройки единого входа с клиентской стороны приложения.
   1. Создание тестового пользователя Cisco Secure Firewall — Secure Client необходимо для того, чтобы связать его с представлением пользователя B.Simon в Microsoft Entra.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройте единый вход в систему Microsoft Entra

Выполните следующие действия, чтобы активировать единый вход в систему Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к Identity>Applications>Enterprise applications>Cisco Secure Firewall - Secure Client>Single sign-on.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок "Изменить" (значок пера), чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить параметры.

   

5. На странице Настройка единого входа с помощью SAML введите значения для следующих полей:

   1. В текстовом поле Идентификатор введите URL-адрес в таком формате:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

   2. В текстовом поле URL-адрес ответа введите URL-адрес в таком формате:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

   Примечание.

   <Tunnel_Group_Name> учитывает регистр, и значение не должно содержать точки "." и косые черты "/".

   Примечание.

   Для получения дополнительной информации об этих значениях обратитесь в центр технической поддержки Cisco. Измените эти значения на фактические значения идентификатора и URL-адреса ответа, предоставленные сотрудниками центра технической поддержки Cisco. Чтобы получить эти значения, обратитесь в службу поддержки безопасных клиентов Cisco Secure Firewall . Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

6. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите пункт Сертификат (Base64) и щелкните Скачать, чтобы скачать файл сертификата. Сохраните этот файл на компьютере.

   

7. В разделе "Настройка безопасного брандмауэра Cisco — безопасный клиент" скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

   

Примечание.

Если вы хотите добавить несколько TGT сервера, необходимо добавить несколько экземпляров Cisco Secure Firewall — приложения Secure Client из галереи. Вы также можете загрузить собственный сертификат в Microsoft Entra ID для всех этих экземпляров приложения. Таким образом, у вас может быть один и тот же сертификат для приложений, но для каждого приложения можно настроить разные идентификаторы и URL-адреса ответа.

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в центр администрирования Microsoft Entra как минимум Администратор пользователя.
2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле основного имени пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Просмотреть и создать.
5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к защищенному брандмауэру Cisco — Secure Client.

1. Войдите в центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
2. Перейдите к Идентификация>Приложения>Корпоративные приложения>Cisco Secure Firewall - Secure Client.
3. На странице обзора приложения выберите "Пользователи" и "Группы".
4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
   1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
   2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка безопасного брандмауэра Cisco - безопасный клиент с единым входом (SSO)

1. Вы собираетесь сначала выполнить этот процесс с помощью CLI, и, возможно, вернётесь к пошаговому руководству с ASDM в другое время.

2. Подключитесь к вашему аппарату VPN. Вы будете использовать Adaptive Security Appliance (ASA) с версией ПО 9.8, а версии программного обеспечения для VPN-клиентов — 4.6 или более поздние.

3. Для начала создайте точку доверия и импортируйте предоставленный сертификат SAML.

    config t
   
    crypto ca trustpoint AzureAD-AC-SAML
      revocation-check none
      no id-usage
      enrollment terminal
      no ca-check
    crypto ca authenticate AzureAD-AC-SAML
    -----BEGIN CERTIFICATE-----
    …
    PEM Certificate Text from download goes here
    …
    -----END CERTIFICATE-----
    quit
   

4. Следующие команды позволят вам подготовить поставщика удостоверений SAML.

    webvpn
    saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
    url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
    url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
    trustpoint idp AzureAD-AC-SAML
    trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
    no force re-authentication
    no signature
    base-url https://my.asa.com
   

5. Теперь вы можете применить проверку подлинности SAML к конфигурации VPN-туннеля.

   tunnel-group AC-SAML webvpn-attributes
      saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
      authentication saml
   end
   
    write mem
   

   Примечание.

   Для конфигурации поставщика удостоверений SAML существует обходной путь. При внесении изменений в конфигурацию IdP необходимо удалить конфигурацию провайдера удостоверений SAML из группы туннелей и повторно применить её, чтобы изменения вступили в силу.

Создайте тестового пользователя для Cisco Secure Firewall – Secure Client

В этом разделе описано, как создать пользователя Britta Simon в Cisco Secure Firewall — Secure Client. Обратитесь к группе поддержки Cisco Secure Firewall - Secure Client, чтобы добавить пользователей в платформу Cisco Secure Firewall - Secure Client. Перед использованием единого входа необходимо создать и активировать пользователей.

Проверка единого входа

В этом разделе вы тестируете конфигурацию однократного входа Microsoft Entra с помощью следующих параметров.

• Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение Cisco Secure Firewall - Secure Client, для которого настроили единый вход
• Вы можете использовать Панель доступа (Майкрософт). Щелкнув плитку "Безопасный брандмауэр Cisco — безопасный клиент" в Панель доступа, вы автоматически войдете в приложение "Безопасный брандмауэр Cisco — безопасный клиент", для которого настроили единый вход. См. дополнительные сведения о панели доступа

Связанное содержимое

После настройки безопасного брандмауэра Cisco — безопасный клиент можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.