証明書認証&DUO SAML認証の設定

Updated: 2023 年 7 月 20 日
Document ID:220600

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、証明書ベースの認証とDuo SAML認証の実装例について説明します。

    前提条件

    このガイドで使用するツールとデバイスは次のとおりです。

    • Cisco Firepower Threat Defense(FTD) 
    • Firepower Management Center(FMC)
    • 内部認証局(CA)
    • Cisco DUO Premierアカウント
    • Cisco DUO認証プロキシ
    • Cisco Secure Client(CSC)

    要件

    次の項目に関する知識があることが推奨されます。

    • 基本的なVPN、
    • SSL/TLS
    • 公開キーインフラストラクチャ
    • FMCの使用経験
    • Cisco Secureクライアント
    • FTDコード7.2.0以降
    • Cisco DUO認証プロキシ

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco FTD(7.3.1)
    • Cisco FMC(7.3.1)
    • Cisco Secure Client(5.0.02075)
    • Cisco DUO認証プロキシ(6.0.1)
    • Mac OS(13.4.1)
    • Active Directory

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    DUOでのステップの設定

    ここでは、Cisco DUOシングルサインオン(SSO)を設定する手順について説明します。 開始する前に、認証プロキシが実装されていることを確認してください。

    warning-icon

    警告:認証プロキシが実装されていない場合は、このリンクにこのタスクのガイドがあります。 DUO認証プロキシガイド

    アプリケーション保護ポリシーの作成

    ステップ 1:次のリンクから管理パネルにサインオンします。Cisco Duo

    Cisco DUO homepageCisco DUOホームページ

    ステップ 2:ダッシュボード>アプリケーション>アプリケーションの保護に移動します。

    検索バーに「Cisco Firepower Threat Defense VPN」と入力し、「Protect」を選択します。

    Protect an application screenshotアプリケーションのスクリーンショットの保護

    保護タイプが「2FA with SSO hosted by Duoのみのオプションを選択します。

    ステップ3:このURL情報をメタデータの下にコピーします。

    • アイデンティティプロバイダエンティティID
    • SSO URL
    • ログアウトURL

    Example of information to copyコピーする情報の例

    note-icon:スクリーンショットからリンクが省略されています。

    ステップ 4:「Download certificate」を選択して、「Downloads」の下にあるIdentity Provider Certificateをダウンロードします。

    ステップ 5:サービスプロバイダー情報の入力

    シスコFirepowerベースURL:FTDに到達するために使用されるFQDN

    接続プロファイル名:トンネルグループ名

    アプリケーションポリシーの作成

    ステップ1:Policyの下にApplication Policyを作成するには、図に示すように「Apply a policy to all users」を選択してから「Or, create a new Policy」を選択します。

    Example of creating an application policyアプリケーションポリシーの作成例

    Example of creating an application policyアプリケーションポリシーの作成例

    ステップ 2:Policy nameで目的の名前を入力し、UsersでAuthentication policyを選択し、Selectを選択します。2FAを適用」 次に、「Create Policy」で保存します。

    Example of creating an application policyアプリケーションポリシーの作成例

    ステップ 3:次のウィンドウで「Apply Policy」を選択してポリシーを適用し、ページの一番下までスクロールして「Save」を選択し、DUO設定を終了します

    FMCの設定手順

    FTDへのID証明書の導入

    このセクションでは、証明書認証に必要なFTDへのID証明書の設定と展開について説明します。 開始する前に、すべての設定を必ず導入してください。

    ステップ 1:図に示すように、Devices > Certificateの順に移動し、Addを選択します。

    Screenshot of Devices/Certificatesデバイス/証明書のスクリーンショット

    ステップ2:デバイスドロップダウンからFTDアプライアンスを選択します。+アイコンをクリックして、新しい証明書登録方式を追加します。

    Screenshot of Add New Certificate新しい証明書の追加のスクリーンショット

    ステップ3:次の図に示すように、「登録タイプ」を介して環境内で証明書を取得するための推奨される方法を選択します。

    tcoutrie_1-1689786001509新しい証明書登録ページのスクリーンショット

    tcoutrie_0-1689785460404

    ヒント:使用可能なオプションは次のとおりです。自己署名証明書 – 新しい証明書をローカルで生成する、SCEP – 簡易証明書登録プロトコル(SCEP)を使用してCAから証明書を取得する、手動 – ルート証明書とID証明書を手動でインストールする、PKCS12 – 暗号化された証明書バンドルをルート、ID、秘密キーと一緒にアップロードする。

    IDP証明書をFTDに展開します。 

    このセクションでは、IDP証明書の設定とFTDへの展開について説明します。 開始する前に、すべての設定を必ず導入してください。

    ステップ1:Devices > Certificateの順に移動し、Addを選択します。

    ステップ2:デバイスドロップダウンからFTDアプライアンスを選択します。+アイコンをクリックして、新しい証明書登録方式を追加します。

    ステップ 3: Add Cert Enrollmentウィンドウで、図に示すように必要な情報を入力し、次に図に示すように「Save」を入力します。

    • 名前:オブジェクトの名前
    • 登録タイプ:手動
    • チェックボックスenabled: CAのみ
    • CA証明書:証明書のPEM形式

    Example of creating a certificate enrollment object証明書登録オブジェクトの作成例

    caution-icon

    注意:必要に応じて、「CA証明書の基本的な制約でCAフラグの確認をスキップする」を使用できます。このオプションは注意して使用してください。

    ステップ4:図に示すように、「Cert Enrollment*:」で新しく作成した証明書登録オブジェクトを選択してから、「Add」を選択します。

    Screenshot of added certificate enrollment object and device追加された証明書登録オブジェクトとデバイスのスクリーンショット

    note-icon

    :証明書を追加すると、証明書はすぐに展開されます。

    SAML SSOオブジェクトの作成

    ここでは、FMCを使用してSAML SSOを設定する手順について説明します。 開始する前に、すべての設定を必ず導入してください。

    ステップ 1:Objects > AAA Server > Single Sign-on Serverの順に移動し、Add Single Sign-on Serverを選択します。

    example of creating a new SSO object新しいSSOオブジェクトの作成例

    ステップ 2:「Create an Application Protection Policy」で必要な情報を入力します。

    になります。完了したら、「保存」を選択して続行します。

    • Name*:オブジェクトの名前
    • アイデンティティプロバイダエンティティID*:手順3のエンティティID
    • SSO URL*:手順3からコピーされたサインインURL
    • ログアウトURL:手順3からコピーしたログアウトURL
    • ベースURL:ステップ5の「シスコFirepowerベースURL」と同じFQDNを使用します。
    • アイデンティティプロバイダー証明書*:展開されたIDP証明書
    • サービスプロバイダー証明書:FTDの外部インターフェイスの証明書

    Example of new SSO object.新しいSSOオブジェクトの例。

    note-icon

    :エンティティID、SSO URL、およびログアウトURLのリンクはスクリーンショットから省略されています

    リモートアクセス仮想プライベートネットワーク(RAVPN)構成の作成

    このセクションでは、ウィザードを使用してRAVPNを設定する手順について説明します。

    ステップ 1:Devices > Remote Accessの順に移動し、Addを選択します。 

    ステップ 2:ウィザードで、新しいRAVPN Policy Wizardの名前を入力し、図に示すように、VPN Protocols: Add the Targeted Devicesの下でSSLを選択します。 完了したら、「Next」を選択します。

    Step 1 of the RAVPN wizardRAVPNウィザードのステップ1

    ステップ 2:Connect Profileでは、オプションを設定します(ここに示します)。完了したら「Next」を選択します。

    • 接続プロファイル名:アプリケーション保護ポリシーの作成」のステップ5でトンネルグループ名を使用します。

    認証、許可、アカウンティング(AAA):

    • クライアント証明書およびSAML
    • Authentication Server:*「SAML SSOオブジェクトの作成中」に作成したSSOオブジェクトを選択します。
      •

    クライアントアドレス割り当て:

    • AAAサーバの使用(レルムまたはRADIUSのみ):RADIUSまたはLDAP
    • DHCPサーバの使用:DHCPサーバ
    • IPアドレスプールの使用:FTDのローカルプール
    Step 2 of RAVPN wizardRAVPNウィザードのステップ2

    ヒント:この実習では、DHCPサーバを使用します。

    ステップ 3:+を選択して、導入するCisco Secure ClientのWeb導入イメージをアップロードします。次に、展開するCSCイメージのチェックボックスを選択します。図に示すように。完了したら、「Next」を選択します。

    tcoutrie_5-1689774962848ステップ3 RAVPNウィザード

    ステップ 4:次のオブジェクトを設定します(図を参照)。完了したら、「Next」を選択します。

    インターフェイスグループ/セキュリティゾーン:*:外部インターフェイス

    Certificate Enrollment:*」:このガイドの「FTDへのID証明書の展開」の部分で作成されたID証明書

    tcoutrie_6-1689775004935RAVPNウィザードのステップ4

    ヒント:まだ作成されていない場合は、「+」を選択して新しい証明書登録オブジェクトを追加します。

    手順 6:要約

    すべての情報を確認します。すべてが正しければ、「Finish」に進みます。

    tcoutrie_7-1689775076011概要ページ

    手順 7:新しく追加した設定を導入します。

    確認

    この項では、接続試行が成功したことを確認する方法について説明します。

    Cisco Secure Clientを開き、FTDのFQDNを入力して接続します。

    SSOページでクレデンシャルを入力します。

    tcoutrie_1-1689775208102Cisco Secure Client経由のSSOページ

    登録済みデバイスへのDUOプッシュを受け入れます。

    tcoutrie_0-1689775181360DUOプッシュ

    接続に成功しました。

    Connected to FTDFTDに接続

    show vpn-sessiondb detail anyconnectコマンドを使用して、FTDの接続を確認します。

    Some information has been omitted from the output example一部の情報は出力例から省略されています

    トラブルシュート

    これらは、実装後に発生する可能性のある問題です。

    問題1:証明書認証が失敗する。

    ルート証明書がFTDにインストールされていることを確認します。

    次のデバッグを使用します。

    debug crypto ca 14

    debug aaa shim 128

    debug aaa common 128

    問題2:SAMLの障害

    次のデバッグをイネーブルにして、トラブルシューティングできます。

    debug aaa shim 128

    debug aaa common 128

    debug webvpn anyconnect 128

    debug webvpn saml 255

    更新履歴

    改定 発行日 コメント
    1.0
    21-Jul-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • テレル・クトリエ
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています