Secure Client용 Secure Firewall에서 SAML을 사용하여 동적 그룹 정책 할당 구성

업데이트:2023년 11월 2일
문서 ID:221173

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개


    이 문서에서는 Cisco Secure Firewall에서 SAML 인증을 사용하여 그룹 정책을 동적으로 할당하는 프로세스에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • 기본 원격 액세스 VPN, SSL 및 인증서 지식
    • 기본 SAML 지식
    • firepower Management Center 경험

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • Cisco Secure Firewall v7.2.0
    • Cisco FMC(Secure Firewall Management Center) v7.2.0
    • Cisco Secure Client 5.0.04032

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    배경 정보

    이 문서에서는 Okta가 IdP(ID 제공자)로 사용됩니다. 그러나 SAML Assertion에서 전송된 특성의 사용자 지정을 허용하는 모든 IdP를 사용할 수 있습니다.


    인증 어설션 외에 어설션 특성을 보내도록 SAML IdP를 구성할 수 있습니다. ASA/FTD의 SAML Service Provider 구성 요소는 IdP에서 받은 SAML 어설션을 해석하고 이를 기반으로 정책을 선택합니다.

    구성

    네트워크 다이어그램

    Lab Topology실습 토폴로지

    note-icon

    참고: 이 설정은 사용자가 한 그룹에 속하고 한 그룹에만 속하는 경우에만 작동하며, 사용자가 여러 그룹에 속하는 경우에는 작동하지 않습니다.

    설정

    Okta - SAML 구성 부품 #1

    1. 다음으로 이동 Applications > Applications 을 클릭하고 Browse App Catalog. 검색 대상Cisco 카탈로그 검색 표시줄에서 Cisco ASA VPN SAML를 클릭한 다음 Add Integration.

    Okta Add ApplicationOkta 애플리케이션 추가

    Okta ASA SAML AppOkta ASA SAML 애플리케이션

    Okta Application Add ButtonOkta Application Add(Okta 애플리케이션 추가) 버튼

    2. 다음을 입력합니다. Application Label 의 General Settings 섹션 및 클릭 Done.

    Okta General SettingsOkta 일반 설정

    3. Sign On, 검색 Metadata URL를 복사한 다음 새 탭에서 엽니다. 이 Metadata XML 파일은 이 이미지에 표시된 것처럼 보입니다.

    Okta Sign on PageOkta 로그인 페이지

    Metadata XML메타데이터 XML

    4. 다운로드 SAML SIgning Certificate, 동일함 Sign On 섹션을 참조하십시오. 이는 FMC에서 SSO를 구성하는 데 필요합니다.

    5. 그런 다음 FMC에서 SSO 서버를 구성합니다. SSL 인증서가 FTD에 대해 구성되고 등록된다고 가정합니다(여기서 신뢰 지점 이름은 입니다). RAVPN-SSL).

    FMC - SAML 컨피그레이션

    1. FMC에서 Devices > Certificates 을 클릭하고 Add.

    FMC Devices NavigationFMC 장치 탐색

    2. 적절한 디바이스를 선택하고 Cert Enrollment(인증서 등록) 옆의 + 를 클릭합니다. 인증서 등록의 이름을 지정합니다. 아래 CA Information, 등록 유형을 Manual. 다음을 확인하십시오. CA Only 확인란을 선택하고 CA Certificate 섹션 Okta SAML 페이지에서 이전에 받은 인증서의 내용을 붙여넣습니다. 작업을 마치면 Save.

    FMC Cert EnrollmentFMC 인증서 등록

    FMC Cert Enrollment Detailsfmc 인증서 등록 세부 정보

    note-icon

    참고: 옵션을 선택합니다. Skip Check for CA flag in basic constraints of the CA certificate일반적으로 IdP에서 제공하는 인증서는 자체 서명됩니다.

    3. 클릭 Add 인증서를 등록하려면

    FMC Add Cert Enrollmentfmc 인증서 등록 추가

    4. 다음으로 이동 Objects > Object Management > AAA Server > Single Sign-on Server 을 클릭하고 Add Single Sign-on Server. 메타데이터 XML(엔티티 ID 및 SSO URL)에서 기본 URL이 common name (CN) FTD SSL 인증서에 대해 보유하고 있는 것입니다. IdP 인증서는 OktaSSO 이전에 등록되었으며 서비스 공급자 인증서가 SSL certificate FTD의 경우 RAVPN-SSL 이 경우. 다른 모든 항목은 기본값으로 둡니다. 작업을 마치면 Save.

    FMC Object NavigationFMC 개체 탐색

    FMC SSO ConfigurationFMC SSO 컨피그레이션

    5. 이 SSO 서버는 원격 액세스 프로필에서 인증으로 사용됩니다. 탐색 Devices > Remote Access > Edit Connection Profile of Concern(문제 연결 프로파일)을 편집합니다. AAA 섹션에서 앞서 생성한 SSO 서버를 인증 방법으로 사용합니다. 작업을 마치면 Save. 다음을 클릭하여 변경 사항을 저장하십시오. Save 오른쪽 상단 구석에 있습니다

    FMC Devices RA NavigationFMC 장치 RA 탐색

    FMC Connection Profile SettingsFMC 연결 프로파일 설정

    6. 그런 다음 이름이 인 세 개의 그룹 정책을 생성합니다. Admins, Finance세일즈 팀

    7. 그룹 정책 DfltGrpPolicy 에 Simultaneous Login Per User. 사용자가 사용하지 않도록 값을 0으로 설정합니다.

    FMC DfltGrpPolicy SettingsFMC DfltGrpPolicy 설정

    8. 다음으로 이동 Advanced Section > Group Policies 을 클릭하고 +. 클릭 + 다시 한 번 새 그룹 정책을 생성합니다.

    9. 이 그림에서는 그룹의 예를 보여 줍니다 Admins. 이름 입력: Admins 이 그룹은 Welcome Admins! 배너 가치로 삼을 수 있습니다 또한 이 그룹에는 스플릿 터널링이 Tunnel networks specified below 이 두 가지 기능에 모두 Finance 및 Sales 팀 서버. 나머지 옵션은 기본값으로 둡니다. 작업을 마치면 Save.

    FMC RAVPN Adv GPFMC RAVPN 고급 GP

    GP Add DialogGP 추가 대화 상자

    Admin GP DialogAdmin GP(관리자 GP) 대화 상자

    Admin GP ACL관리자 GP ACL

    Admin GP ACL DialogAdmin GP ACL(관리자 GP ACL) 대화 상자

    9. 마찬가지로 나머지 두 그룹을 만듭니다 Finance 및 Sales. 이 Lab에서는 배너 값으로 구성됩니다 Welcome Finance Team! 및 Welcome Sales Team! 각각. 또한 다음과 같은 스플릿 터널링으로 구성됩니다. Admins 그룹화하여 해당 서버에만 액세스, 즉 Finance 그룹만 액세스 가능 FinanceServer 및 Sales 그룹은 액세스만 할 수 있음 SalesServer.

    10. 생성한 후에는 모두 추가하고 OK.

    Add All GP모든 GP 추가

    11. 다음을 클릭합니다 Save 변경 사항을 구축합니다.

    12. FTD/FMC의 필수 구성이 완료되었습니다. Okta의 나머지 SAML 컨피그레이션은 다음 섹션에서 구성합니다.

    Okta - SAML 구성 부품 #2

    1. 다음으로 이동 Applications > Applications 을 클릭하고  Application > Sign on Section > Edit.

    2. 구성된 사용자 지정 그룹 특성 Okta - SAML Config Part #1 이는 cisco_group_policy를 SAML assertion으로 전송해야 합니다. 의 왼쪽에 있는 드롭다운 화살표를 클릭합니다. Attributes (Optional) 및 Group Attributes Statements (Optional),이 group 다음으로 Name 및 cisco_group_policy 다음으로 Filter Regex와 일치하는 ^((?!Everyone).*) 있습니다.

    Okta Sign on SettingsOkta 로그온 설정

    Okta App AttributeOkta 앱 특성

    note-icon

    참고: Regex 필터 ^((?!Everyone).*)에서는 사용자에게 할당된 그룹(이 실습에서는 사용자당 하나만)을 제공합니다. Everyone및 의 값으로 전송 cisco_group_policy SAML assertion에 추가합니다.

    4. 클릭 Preview SAML Assertion이 어떻게 표시되는지 확인하기 위해

    5. 아래 Advanced Settings Okta에서 SAML 컨피그레이션을 완료하려면 필드에 값을 입력합니다. 작업을 마치면 Save.

    엔터티 ID: https:// /saml/sp/metadata/

    어설션 소비자 URL: https:// /+CSCOE+/saml/sp/acs?tgname=

    단일 로그아웃 서비스 URL: https:// /+CSCOE+/saml/sp/logout

    Okta SSO SettingOkta SSO 설정

    Okta - 사용자 및 그룹

    1. 그룹을 구성하여 시작하여 네트워크 다이어그램에 따라 3개의 그룹을 만듭니다. Admins, FinanceSales.

    2. Okta Admin Dashboard에 로그인합니다. 탐색 Directory > Groups.

    Okta Directory Group NavigationOkta 디렉터리 그룹 탐색

    3. 클릭 Add group.

    Okta Add Group그룹 추가 확인

    4. 그룹명과 선택적 내용을 입력합니다. 에 대한 컨피그레이션이 표시됩니다. Admins group. 작업을 마치면 Save.

    Okta Admin GroupOkta 관리자 그룹

    5. 동일한 단계를 반복하여 Finance 및 Sales 그룹입니다.

    6. 다음으로 이동 Directory > Profile Editor > Groups 있습니다. 클릭 Okta group.

    Okta Group AttributeOkta 그룹 특성

    7. 클릭 Add Attribute을 누르고 표시된 대로 값을 입력합니다.

    Okta Add AttributeOkta 특성 추가

    Okta Group Attribute DialogOkta 그룹 속성 대화 상자

    note-icon

    참고: 필드의 값 Variable name 엄격하게 cisco_group_policy.

    8. 완료되면 Save.

    9. 다음으로 이동 Directory > Groups이전에 생성한 세 그룹 중 하나를 클릭합니다. 이 그림에서는 Sales그룹.

    Okta Group List옥타 그룹 목록

    10. 아래 Profile 섹션, 7단계에서 생성한 속성을 볼 수 있습니다. 클릭 Edit 해당 그룹에 할당할 그룹 정책의 이름으로 값을 채웁니다. 값 구성 Sales 간소화할 수 있습니다. 작업을 마치면 Save.

    Okta Sales GroupOkta 영업 그룹

    11. 그룹에 대해 동일한 단계를 반복합니다 Admins 및 Finance. 에 대한 값을 구성합니다. cisco_group_policy 수신 Admins 및 Finance 각각.

    note-icon

    참고: cisco_group_policy 이전에 구성된 그룹 정책 이름과 동일해야 합니다.

    12. 그런 다음 일부 사용자를 생성하고 이전 단계에서 생성한 그룹에 할당합니다. 탐색 Directory > People  을 클릭하고 Add Person.

    13. 실습을 테스트할 사용자 3명을 생성합니다. FinanceUser, SalesUser및 AdminUser 네트워크 Finance, SalesAdmins 각각 그룹화합니다. 이 그림에서는 FinanceUser 그룹입니다.

    Okta Add PersonOkta 사람 추가

    Okta Finance UserOkta finance 사용자

    14. 나머지 2명의 사용자에 대해서도 동일한 단계를 반복합니다. AdminUser 및 SalesUser.

    15. 마지막 단계는 생성된 그룹을 SAML 애플리케이션에 추가하는 것입니다. 탐색 Applications > Applications > Edit > Assignments. 클릭 Assign > Assign to Groups. 이전에 생성한 3개의 그룹에 할당하고 Done.

    Okta Assign User to Group그룹에 사용자 할당 확인

    Okta Group AssignOkta 그룹 할당

    다음을 확인합니다.

    재무 사용자

    배너

    Finance Team Banner재무 팀 배너

    보안 경로

    Secured Routes for Finance파이낸스 보안 경로

    서버 연결성

    ICMP to DestinationICMP를 대상으로

    FTD에 대한 세션

    firepower# sh vpn-sessiondb anyconnect filter name FinanceUser@xxxxxxx
    Username : FinanceUser@xxxxxxx     Index : 14
    Assigned IP : 10.72.1.1                 Public IP : 10.106.68.246

    --------- OUTPUT OMMITTED ---------

    Group Policy : Finance                  Tunnel Group : RAVPN
    Duration : 0h:03m:26s


    세일즈 사용자

    배너

    Sales Team Banner영업팀 배너

    보안 경로

    Sales Team Secured Routes영업 팀이 경로를 확보했습니다.

    서버 연결성

    ICMP to DestinationICMP를 대상으로

    FTD에 대한 세션

    firepower# sh vpn-sessiondb anyconnect filter name SalesUser@xxxxxxx
    Username : SalesUser@xxxxxxx Index : 15
    Assigned IP : 10.72.1.1           Public IP : 10.106.68.246

    --------- OUTPUT OMMITTED ---------

    Group Policy : Sales              Tunnel Group : RAVPN
    Duration : 0h:02m:57s

    관리자 사용자

    배너

    Admin Team Banner관리 팀 배너

    보안 경로

    Admin Secured Routes관리자 보안 경로

    서버 연결성

    ICMP to DestinationICMP를 대상으로

    FTD에 대한 세션

    firepower# sh vpn-sessiondb anyconnect filter name AdminUser@xxxxxxx
    Username : AdminUser@xxxxxxx   Index : 16
    Assigned IP : 10.72.1.1             Public IP : 10.106.68.246

    --------- OUTPUT OMMITTED ---------

    Group Policy : Admins               Tunnel Group : RAVPN
    Duration : 0h:03m:05s

    문제 해결

    1. FTD와 Okta에서 시간이 동기화되어 있는지 확인합니다. 를 사용하여 동일한 항목을 선택합니다. show clock FTD CLI에서 확인할 수 있습니다

    firepower# sh clock
    05:14:52.494 UTC Mon Sep 4 2023

    2. SAML assertion이 성공인지 확인하기 위해 SAML 디버그를 적용합니다.

    firepower# debug webvpn saml 255
    ------------ OUTPUT OMMITTED ------------

    Sep 04 05:20:42
    [SAML] consume_assertion:
    http://www[.]okta[.]com/XXXXXXXXXXXXXX FinanceUser@xxxxxxx
    [saml] webvpn_login_primary_username: SAML assertion validation succeeded

    ------------ OUTPUT OMMITTED ------------

    3. 이 문서를 참조하여 클라이언트 측에서 발견되는 일반적인 문제를 해결하십시오.

    개정 이력

    개정 게시 날짜 의견
    1.0
    06-Nov-2023
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 파반 군두
      Cisco TAC 엔지니어
    • 안킷 쿠마르
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품