共用方式為


教學課程:Microsoft Entra 單一登入 (SSO) 與 Cisco Secure Firewall - Secure Client 整合

在本教學課程中,您將瞭解如何整合 Cisco Secure Firewall - Secure Client 與 Microsoft Entra ID。 在整合 Cisco Secure Firewall - Secure Client 與 Microsoft Entra ID 時,您可以:

  • 在 Microsoft Entra ID 中控制可存取 Cisco Secure Firewall - Secure Client 的人員。
  • 讓使用者使用其 Microsoft Entra 帳戶自動登入 Cisco Secure Firewall - Secure Client。
  • 在一個集中式位置管理您的帳戶。

必要條件

若要開始使用,您需要下列項目:

  • Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶
  • 已啟用 Cisco Secure Firewall - Secure Client 單一登入 (SSO) 的訂用帳戶。

案例描述

在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。

  • Cisco 安全防火牆 - 安全用戶端僅支援 IDP 起始的 SSO。

若要設定將 Cisco Secure Firewall - Secure Client 整合到 Microsoft Entra ID 中,您需要從資源庫將 Cisco Secure Firewall - Secure Client 新增到受控 SaaS 應用程式清單。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]
  3. [從資源庫新增] 區段中,於搜尋方塊中輸入 [Cisco Secure Firewall - Secure Client]
  4. 從結果面板選取 [Cisco Secure Firewall - Secure Client],然後新增應用程式。 將應用程式新增至您的租用戶時,請稍候幾秒鐘。

或者,您也可以使用企業應用程式組態精靈。 在此精靈中,您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色,以及逐步進行 SSO 設定。 深入了解 Microsoft 365 精靈。

設定及測試適用於 Cisco Secure Firewall - Secure Client 的 Microsoft Entra SSO

使用名為 B.Simon 的測試用戶,設定及測試與 Cisco Secure Firewall - Secure Client 搭配的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Cisco Secure Firewall - Secure Client 中相關使用者之間的連結關聯性。

若要設定及測試與 Cisco Secure Firewall - Secure Client 搭配的 Microsoft Entra SSO,請執行下列步驟:

  1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
    1. 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
    2. 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 使用 Microsoft Entra 單一登入。
  2. 設定 Cisco Secure Firewall - Secure Client SSO - 在應用程式端設定單一登入設定。
    1. 建立 Cisco Secure Firewall - Secure Client 測試使用者 - 使 Cisco Secure Firewall - Secure Client 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表。
  3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

遵循下列步驟來啟用 Microsoft Entra SSO。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[Cisco Secure Firewall - Secure Client]>[單一登入]

  3. 在 [選取單一登入方法] 頁面上,選取 [SAML]

  4. 在 [使用 SAML 設定單一登入] 頁面上,按一下 [基本 SAML 組態] 的編輯/手寫筆圖示以編輯設定。

    此螢幕擷取畫面顯示編輯基本 SAML 組態。

  5. 在 [以 SAML 設定單一登入] 頁面上,輸入下列欄位的值:

    1. 在 [識別碼] 文字方塊中,使用下列模式來輸入 URL:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

    2. 在 [回覆 URL] 文字方塊中,使用下列模式來輸入 URL:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

    注意

    <Tunnel_Group_Name> 會區分大小寫,且其值不得包含逗號「.」 和斜線「/」。

    注意

    如需這些值的詳細資訊,請連絡 Cisco TAC 支援。 使用 Cisco TAC 所提供的實際識別碼與回覆 URL 來更新這些值。 請連絡 Cisco Secure Firewall - Secure Client 支援小組 以取得這些值。 您也可以參考 基本 SAML 組態 一節中顯示的模式。

  6. 在 [設定使用 SAML 的單一登入] 頁面的 [SAML 簽署憑證] 區段中,尋找 [憑證 (Base64)] 並選取 [下載],以下載憑證檔案並將其儲存在電腦上。

    此螢幕擷取畫面顯示 [憑證下載] 連結。

  7. [設定 Cisco Secure Firewall - Secure Client] 區段上,根據您的需求複製適當的 URL。

    此螢幕擷取畫面顯示複製組態 URL。

注意

如果您想要將多部伺服器上線,您需要從資源庫新增多個 Cisco Secure Firewall - Secure Client 應用程式的實例。 您也可以針對所有這些應用程式實例,選擇在 Microsoft Entra ID 中上傳您自己的憑證。 如此一來,您的應用程式就能使用相同的憑證,但可以為每個應用程式設定不同的識別碼和回覆 URL。

建立 Microsoft Entra 測試使用者

在本節中,您將建立名為 B.Simon 的測試使用者。

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  3. 在畫面頂端選取 [新增使用者]>[建立新使用者]
  4. 在 [使用者] 屬性中,執行下列步驟:
    1. 在 [顯示名稱] 欄位中輸入 B.Simon
    2. 在 [使用者主體名稱] 欄位中輸入 username@companydomain.extension。 例如: B.Simon@contoso.com
    3. 選取 [顯示密碼] 核取方塊,然後記下 [密碼] 方塊中顯示的值。
    4. 選取 [檢閱 + 建立]
  5. 選取 [建立]

指派 Microsoft Entra 測試使用者

在本節中,您會將 Cisco Secure Firewall - Secure Client 的存取權授與 B.Simon,使其能夠使用單一登入。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[應芿程式]>[企業應用程式]>[Cisco Secure Firewall - Secure Client]
  3. 在應用程式的 [概觀] 頁面中,選取 [使用者和群組]
  4. 選取 [新增使用者/群組],然後在 [新增指派] 對話方塊中選取 [使用者和群組]
    1. 在 [使用者和群組] 對話方塊中,從 [使用者] 列表中選取 [B.Simon],然後按一下畫面底部的 [選取] 按鈕。
    2. 如果您預期將角色指派給使用者,則可以從 [選取角色] 下拉式清單中選取該角色。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取權] 角色。
    3. 在 [新增指派] 對話方塊中,按一下 [指派] 按鈕。

設定 Cisco Secure Firewall - Secure Client SSO

  1. 您即將先在 CLI 上執行此動作,您可能會回頭進行且以後再進行 ASDM 逐步解說。

  2. 連線到您的 VPN 設備,您將會使用執行 9.8 程式碼訓練的 ASA,而您的 VPN 用戶端會是 4.6+。

  3. 首先,您會建立 Trustpoint 並匯入我們的 SAML 憑證。

     config t
    
     crypto ca trustpoint AzureAD-AC-SAML
       revocation-check none
       no id-usage
       enrollment terminal
       no ca-check
     crypto ca authenticate AzureAD-AC-SAML
     -----BEGIN CERTIFICATE-----
     …
     PEM Certificate Text from download goes here
     …
     -----END CERTIFICATE-----
     quit
    
  4. 下列命令將提供您的 SAML IdP。

     webvpn
     saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
     url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
     url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
     trustpoint idp AzureAD-AC-SAML
     trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
     no force re-authentication
     no signature
     base-url https://my.asa.com
    
  5. 您現在可以將 SAML 驗證套用至 VPN 通道設定。

    tunnel-group AC-SAML webvpn-attributes
       saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
       authentication saml
    end
    
     write mem
    

    注意

    SAML IdP 設定有因應措施。 若您對 IdP 設定進行變更,就必須從您的通道群組中移除 SAML 識別提供者設定,然後重新套用,讓變更生效。

建立 Cisco Secure Firewall - Secure Client 測試使用者

在本節中,您會在 Cisco Secure Firewall - Secure Client 中建立名為 Britta Simon 的使用者。 請與 Cisco Secure Firewall - Secure Client 支援小組 合作,在 Cisco Secure Firewall - Secure Client 平台中新增使用者。 您必須先建立和啟動使用者,然後才能使用單一登入。

測試 SSO

在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

  • 按一下 [測試此應用程式],您應該會自動登入您已設定 SSO 的 Cisco Secure Firewall - Secure Client
  • 您可以使用 Microsoft 存取面板。 當您在存取面板中按一下 [Cisco Secure Firewall - Secure Client] 圖格時,應該會自動登入已設定 SSO 的 Cisco Secure Firewall - Secure Client。 如需「存取面板」的詳細資訊,請參閱存取面板簡介

下一步

設定 Cisco Secure Firewall - Secure Client 後,您可以強制執行工作階段控制項,以即時防止組織的敏感性資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用適用於雲端的 Microsoft Defender 應用程式來強制執行工作階段控制項