تكوين FMC SSO باستخدام Azure كموفر هوية

خيارات التنزيل

  • PDF     (2.3 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.2 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٢ أغسطس ٢٠٢٤
معرّف المستند:216515

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين تسجيل الدخول الأحادي لمركز إدارة Firepower (FMC) (SSO) باستخدام Azure كموفر هوية (IDp).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • الفهم الأساسي لمركز إدارة FirePOWER
    • الفهم الأساسي لتسجيل الدخول الأحادي 

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • مركز إدارة Cisco Firepower (FMC)، الإصدار 6.7.0
    • Azure - IdP

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية


    مصطلحات SAML

    لغة تمييز تأكيد الأمان (SAML) هي في معظم الأحيان البروتوكول الأساسي الذي يجعل SSO ممكنا. تحتفظ الشركة بصفحة تسجيل دخول واحدة، خلف هذه الصفحة يوجد مخزن هوية وقواعد مصادقة متنوعة. يمكنه بسهولة تكوين أي تطبيق ويب يدعم SAML، والذي يسمح لك بتسجيل الدخول إلى جميع تطبيقات الويب. كما أنه لا ينطوي على ميزة الأمان المتمثلة في إجبار المستخدمين على الاحتفاظ بكلمات المرور (وربما إعادة إستخدامها) لكل تطبيق ويب يحتاجون إلى الوصول إليه، أو عرض كلمات المرور لهذه التطبيقات على الويب.

    يجب إجراء تكوين SAML في مكانين: في IDp وفي SP. يجب تكوين معرف الخدمة بحيث يعرف مكان وكيفية إرسال المستخدمين عندما يرغبون في تسجيل الدخول إلى موفر خدمة (SP) محدد. يلزم تكوين SP حتى يعرف أنه يمكنه الثقة في تأكيدات SAML الموقعة من قبل IdP. 

    تعريف بعض المصطلحات الأساسية ل SAML:

    • موفر الهوية (IdP) - أداة أو خدمة البرنامج (غالبا ما يتم تصورها بواسطة صفحة تسجيل دخول و/أو لوحة معلومات) التي تقوم بتنفيذ المصادقة؛ يتحقق من اسم المستخدم وكلمات المرور، ويتحقق من حالة الحساب، ويستدعي عاملين، ومصادقة أخرى. 

    • مزود الخدمة (SP) - تطبيق ويب حيث يحاول المستخدم اكتساب حق الوصول. 

    • تأكيد SAML - رسالة تؤكد هوية المستخدم وغالبا سمات أخرى، يتم إرسالها عبر HTTP من خلال عمليات إعادة توجيه المستعرض

    تكوين IDp

    يتم توفير مواصفات تأكيد SAML وما يحتوي عليه وكيفية تنسيقه بواسطة SP ويتم تعيينها في IdP. 

    • EntityID - اسم فريد عمومي ل SP. تختلف التنسيقات، ولكن من الشائع بشكل متزايد رؤية هذه القيمة منسقة كعنوان URL.
      مثال: https://<FQDN-or-IPaddress>/saml/metadata
    • أداة التحقق من صحة Confirmation Consumer Service (ACS) - هي إجراء أمان في شكل تعبير عادي (regex) يضمن إرسال تأكيد SAML إلى ACS الصحيح. يتم تشغيل هذا فقط أثناء عمليات تسجيل الدخول التي بدأها SP حيث يحتوي طلب SAML على موقع ACS، لذلك سيضمن مدقق ACS هذا أن موقع ACS الذي تم توفيره بواسطة طلب SAML شرعي.
      مثال: https://<FQDN-or-IPaddress>/saml/acs
    • السمات - يمكن أن يختلف عدد السمات وشكلها إلى حد كبير. عادة ما يكون هناك سمة واحدة على الأقل، وهي NameID، وهي عادة اسم المستخدم الخاص بالمستخدم الذي يحاول تسجيل الدخول.
    • خوارزمية توقيع SAML - SHA-1 أو SHA-256. أقل شيوعا طراز SHA-384 أو SHA-512. يتم إستخدام هذه الخوارزمية بالاقتران مع شهادة X.509 المذكورة هنا.

    لقطة شاشة 2020-11-11 في 11.37.19 ص

    تكوين SP

    وعلى عكس القسم أعلاه، يتحدث هذا القسم عن المعلومات المقدمة من المعرفات المحددة في قائمة الخدمات. 

    • URL المصدر - المعرف الفريد للمعرف. تم تنسيقه كعنوان URL يحتوي على معلومات حول IdP حتى يتمكن SP من التحقق من أن تأكيدات SAML التي يتلقاها يتم إصدارها من معرف P الصحيح.
    • عنوان URL لتسجيل الدخول إلى نقطة نهاية SSO ل SAML / مزود الخدمة - نقطة نهاية IDp التي تبدأ المصادقة عند إعادة التوجيه هنا بواسطة SP مع طلب SAML.
      مثال: https://login.microsoftonline.com/023480840129412-824812/saml2
    • نقطة نهاية SAML SLO (تسجيل الخروج الأحادي) - نقطة نهاية IdP التي تغلق جلسة IdP عند إعادة توجيهها هنا بواسطة SP، عادة بعد النقر فوق تسجيل الخروج.
      مثال: https://access.wristbandtent.com/logout

    SAML على FMC 

    يتم تقديم ميزة SSO في FMC من 6.7. تبسط الميزة الجديدة تفويض FMC (RBAC)، حيث أنها تخطط المعلومات الموجودة لأدوار FMC. وهو ينطبق على كافة مستخدمي واجهة مستخدم FMC وأدوار FMC. وفي الوقت الحالي، تدعم مواصفات SAML 2.0، حيث يقوم هؤلاء بدعم النازحين

    • أوكتا

    • OneLogin

    • PingID

    • لازوردي دي

    • أخرى (أي نازح يتوافق مع المعيار SAML 2.0)

    الحدود والتحذيرات

    • لا يمكن تكوين SSO إلا للمجال العمومي.

    • تحتاج وحدات التحكم في إدارة الهيكل (FMC) في زوج التوفر (HA) إلى تهيئة فردية.

    • يمكن فقط لمسؤولي الإعلان/المحلي تكوين تسجيل الدخول الأحادي.

    • لم يتم دعم نظام الخدمة المدنية الذي تم إنشاؤه من النازحين داخليا.

    التكوين

    التكوين على موفر الهوية 

    الخطوة 1. سجل الدخول إلى Microsoft Azure. انتقل إلى Azure Active Directory > Enterprise Application.

    لقطة شاشة 2020-11-11 في 1.00.55 م

    • الخطوة 2. قم بإنشاء تطبيق جديد ضمن تطبيق غير معرض، كما هو موضح في هذه الصورة:

    لقطة شاشة 2020-11-11 في 1.03.08 م

    الخطوة 3. قم بتحرير التطبيق الذي تم إنشاؤه وتصفح لإعداد تسجيل دخول واحد > SAML، كما هو موضح في هذه الصورة.

    لقطة شاشة 2020-11-11 في 1.04.40 م

    الخطوة 4. تحرير تكوين SAML الأساسي وتوفير تفاصيل FMC: 

    • عنوان URL ل FMC: https://<FMC-FQDN-or-IPaddress>
    • المعرف (معرف الوحدة): https://<FMC-FQDN-or-IPaddress>/saml/metadata
    • عنوان URL الخاص بالرد: https://<FMC-FQDN-or-IPaddress>/saml/acs
    • تسجيل الدخول إلى URL: https://<FMC-QDN-or-IPaddress>/saml/acs

    • RelayState:/ui/login

    لقطة شاشة 2020-11-11 في 1.07.01 م

    الاحتفاظ بالباقي كافتراضي - تتم مناقشة هذا الأمر بشكل إضافي للوصول المستند إلى الأدوار.

    وهذا يضع علامة على نهاية تكوين موفر الهوية. تنزيل XML لبيانات تعريف الاتحاد الذي يتم إستخدامه لتكوين FMC.

    التكوين على مركز إدارة Firepower

    الخطوة 1. سجل الدخول إلى FMC، انتقل إلى الإعدادات > المستخدمين > تسجيل الدخول الأحادي وتمكين SSO. حدد Azure كموفر. 

    لقطة شاشة 2020-11-11 في 1.10.09 م

    الخطوة 2. تحميل ملف XML الذي تم تنزيله من Azure هنا. يقوم تلقائيا بتعميم جميع التفاصيل المطلوبة. 

    لقطة شاشة 2020-11-11 في 1.11.20 م

    الخطوة 3. تحقق من التكوين وانقر فوق حفظ، كما هو موضح في هذه الصورة.

    لقطة شاشة 2020-11-11 في 1.12.42 م

    تكوين متقدم - RBAC مع Azure

    لاستخدام أنواع أدوار مختلفة لتعيين أدوار FMC - يجب تحرير بيان التطبيق على Azure لتعيين قيم للأدوار. بشكل افتراضي، تحتوي الأدوار على قيمة خالية.

    الخطوة 1. انتقل إلى التطبيق الذي تم إنشاؤه وانقر فوق تسجيل الدخول الأحادي.

    لقطة شاشة 2020-08-14 على 6.47.29 م

    الخطوة 2. تحرير سمات المستخدم والمطالبات. إضافة مطالبة جديدة بالاسم: الأدوار وتحديد القيمة user.Asssignedroles.

    لقطة شاشة 2020-08-14 على 6.43.53 م

    الخطوة 3. انتقل إلى <Application-Name> > Manifest. قم بتحرير البيان. الملف بتنسيق JSON ويتوفر مستخدم افتراضي للنسخ. على سبيل المثال- هنا يتم إنشاء دورين: المستخدم والمحلل.

    لقطة شاشة 2020-08-14 على 6.49.28 م

    الخطوة 4. انتقل إلى <application-name> > المستخدمون والمجموعات. قم بتحرير المستخدم وتعيين الأدوار التي تم إنشاؤها حديثا، كما هو موضح في هذه الصورة.

    لقطة شاشة 2020-08-14 على 6.51.48 م

    الخطوة 4. سجل الدخول إلى FMC وحرر التكوين المتقدم في SSO. ل، سمة عضو المجموعة: قم بتعيين اسم العرض الذي قمت بتوفيره في بيان التطبيق للأدوار.

    لقطة شاشة 2020-08-14 على 6.54.17 م

    وبمجرد القيام بذلك، يمكنك تسجيل الدخول إلى دورهم المعين.

    التحقق من الصحة

    الخطوة 1. انتقل إلى عنوان URL الخاص بوحدة التحكم في إدارة اللوحة الأساسية (FMC) من المستعرض الخاص بك: https://<FMC URL>. انقر على تسجيل الدخول الأحادي، كما هو موضح في هذه الصورة.

    لقطة شاشة 2020-11-11 في 1.18.16 م

    تتم بعد ذلك إعادة توجيهك إلى صفحة تسجيل الدخول إلى Microsoft وسيؤدي تسجيل الدخول الناجح إلى إرجاع الصفحة الافتراضية ل FMC.

    الخطوة 2. في FMC، انتقل إلى نظام > مستخدمين لرؤية مستخدم SSO الذي تمت إضافته إلى قاعدة البيانات.

    لقطة شاشة 2020-11-11 في 1.44.19 م

    استكشاف الأخطاء وإصلاحها

    تحقق من مصادقة SAML وهذا هو سير العمل الذي تقوم بتحقيقه للتخويل الناجح (هذه الصورة من بيئة معملية) :

    سجلات SAML للمستعرض

    لقطة شاشة 2020-11-11 في 1.15.12 م

    سجلات FMC SAML

    التحقق من سجلات SAML على FMC على /var/log/auth-daemon.log

    لقطة شاشة 2020-11-11 في 1.16.15 م

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    12-Aug-2024
    الإصدار الأولي
    1.0
    10-Dec-2020
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Shubham Bharti
      Cisco Professional Services

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات