Интеграция единого входа Microsoft Entra с Cisco Secure Firewall — Secure Client
В этой статье вы узнаете, как интегрировать безопасный брандмауэр Cisco — безопасный клиент с идентификатором Microsoft Entra. При интеграции Cisco Secure Firewall с Secure Client и идентификатором Microsoft Entra ID, вы можете:
- Контроль в Microsoft Entra ID того, кто имеет доступ к Cisco Secure Firewall — Secure Client.
- Включите автоматический вход пользователей в Cisco Secure Firewall — безопасный клиент с помощью учетных записей Microsoft Entra.
- Управляйте учетными записями в одном центральном месте.
Требования
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
- Одна из следующих ролей:
- Подписка Cisco Secure Firewall с поддержкой единого входа (SSO) для Secure Client.
Описание сценария
В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
- Брандмауэр Cisco Secure — Secure Client поддерживает только IDP-инициированный SSO.
Добавление Cisco Secure Firewall - Secure Client из коллекции
Чтобы настроить интеграцию Cisco Secure Firewall - Secure Client с Microsoft Entra ID, необходимо добавить Cisco Secure Firewall - Secure Client из галереи в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
- Перейдите к Identity>приложениям>корпоративным приложениям>Новое приложение.
- В разделе "Добавление из коллекции" в поле поиска введите Cisco Secure Firewall — Secure Client.
- Выберите безопасный брандмауэр Cisco — безопасный клиент на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш тенант.
Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере вы можете добавить приложение в свой клиент, добавить пользователей и группы в приложение, назначить роли, а также настроить конфигурацию SSO (единого входа). Подробнее о мастерах Microsoft 365.
Настройка и тестирование Microsoft Entra SSO для Cisco Secure Firewall — Secure Client
Настройте и проверьте единую идентификацию Microsoft Entra в Cisco Secure Firewall — Secure Client, используя тестового пользователя B.Simon. Для корректной работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в системе безопасности Cisco Secure Firewall — Secure Client.
Чтобы настроить и проверить единый вход Microsoft Entra в Cisco Secure Firewall — Secure Client, выполните следующие действия.
-
Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
- Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначьте тестового пользователя Microsoft Entra, чтобы Б.Саймон мог использовать функцию единого входа Microsoft Entra.
-
Настройте Cisco Secure Firewall - Secure Client SSO, чтобы настроить настройки единого входа с клиентской стороны приложения.
- Создание тестового пользователя Cisco Secure Firewall — Secure Client необходимо для того, чтобы связать его с представлением пользователя B.Simon в Microsoft Entra.
- Проверка единого входа позволяет убедиться в правильности конфигурации.
Настройте единый вход в систему Microsoft Entra
Выполните следующие действия, чтобы активировать единый вход в систему Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
Перейдите к Identity>Applications>Enterprise applications>Cisco Secure Firewall - Secure Client>Single sign-on.
На странице Выбрать метод единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок "Изменить" (значок пера), чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить параметры.
На странице Настройка единого входа с помощью SAML введите значения для следующих полей:
В текстовом поле Идентификатор введите URL-адрес в таком формате:
https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>В текстовом поле URL-адрес ответа введите URL-адрес в таком формате:
https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>
Примечание.
<Tunnel_Group_Name>учитывает регистр, и значение не должно содержать точки "." и косые черты "/".Примечание.
Для получения дополнительной информации об этих значениях обратитесь в центр технической поддержки Cisco. Измените эти значения на фактические значения идентификатора и URL-адреса ответа, предоставленные сотрудниками центра технической поддержки Cisco. Чтобы получить эти значения, обратитесь в службу поддержки безопасных клиентов Cisco Secure Firewall . Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".
На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите пункт Сертификат (Base64) и щелкните Скачать, чтобы скачать файл сертификата. Сохраните этот файл на компьютере.
В разделе "Настройка безопасного брандмауэра Cisco — безопасный клиент" скопируйте соответствующие URL-адреса в соответствии с вашим требованием.
Примечание.
Если вы хотите добавить несколько TGT сервера, необходимо добавить несколько экземпляров Cisco Secure Firewall — приложения Secure Client из галереи. Вы также можете загрузить собственный сертификат в Microsoft Entra ID для всех этих экземпляров приложения. Таким образом, у вас может быть один и тот же сертификат для приложений, но для каждого приложения можно настроить разные идентификаторы и URL-адреса ответа.
Создание тестового пользователя Microsoft Entra
В этом разделе описано, как создать тестового пользователя B.Simon.
- Войдите в центр администрирования Microsoft Entra как минимум Администратор пользователя.
- Перейдите в раздел Идентификация>Пользователи>Все пользователи.
- Выберите "Создать пользователя>" в верхней части экрана.
- В свойствах пользователя выполните следующие действия.
-
В поле "Отображаемое имя" введите
B.Simon. -
В поле основного имени пользователя введите username@companydomain.extension. Например,
B.Simon@contoso.com. - Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле пароля.
- Выберите Просмотреть и создать.
-
В поле "Отображаемое имя" введите
- Нажмите кнопку создания.
Назначение тестового пользователя Microsoft Entra
В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Salesforce.
- Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
- Перейдите к Identity>Приложения>Корпоративные приложения. Выберите приложение из списка приложений.
- На странице обзора приложения выберите "Пользователи" и "Группы".
- Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
- В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
- Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
- В диалоговом окне Добавление назначения нажмите кнопку Назначить.
Настройка безопасного брандмауэра Cisco - безопасный клиент с единым входом (SSO)
Вы собираетесь сначала выполнить этот процесс с помощью CLI, и, возможно, вернётесь к пошаговому руководству с ASDM в другое время.
Подключитесь к вашему аппарату VPN. Вы будете использовать Adaptive Security Appliance (ASA) с версией ПО 9.8, а версии программного обеспечения для VPN-клиентов — 4.6 или более поздние.
Для начала создайте точку доверия и импортируйте предоставленный сертификат SAML.
config t crypto ca trustpoint AzureAD-AC-SAML revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML -----BEGIN CERTIFICATE----- … PEM Certificate Text from download goes here … -----END CERTIFICATE----- quitСледующие команды позволят вам подготовить поставщика удостоверений SAML.
webvpn saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal) trustpoint idp AzureAD-AC-SAML trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here) no force re-authentication no signature base-url https://my.asa.comТеперь вы можете применить проверку подлинности SAML к конфигурации VPN-туннеля.
tunnel-group AC-SAML webvpn-attributes saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/ authentication saml end write memПримечание.
Для конфигурации поставщика удостоверений SAML существует обходной путь. При внесении изменений в конфигурацию IdP необходимо удалить конфигурацию провайдера удостоверений SAML из группы туннелей и повторно применить её, чтобы изменения вступили в силу.
Создайте тестового пользователя для Cisco Secure Firewall – Secure Client
В этом разделе описано, как создать пользователя Britta Simon в Cisco Secure Firewall — Secure Client. Обратитесь к группе поддержки Cisco Secure Firewall - Secure Client, чтобы добавить пользователей в платформу Cisco Secure Firewall - Secure Client. Перед использованием единого входа необходимо создать и активировать пользователей.
Проверка единого входа
В этом разделе вы тестируете конфигурацию однократного входа Microsoft Entra с помощью следующих параметров.
- Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение Cisco Secure Firewall - Secure Client, для которого настроили единый вход
- Вы можете использовать Панель доступа (Майкрософт). Щелкнув плитку "Безопасный брандмауэр Cisco — безопасный клиент" в Панель доступа, вы автоматически войдете в приложение "Безопасный брандмауэр Cisco — безопасный клиент", для которого настроили единый вход. См. дополнительные сведения о панели доступа
Связанное содержимое
После настройки безопасного брандмауэра Cisco — безопасный клиент можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.