소개
이 문서에서는 SSO(Single Sign-On)를 통해 관리 액세스를 인증하도록 FMC(Secure Firewall Management Center)를 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
· Single Sign-On 및 SAML에 대한 기본 이해
· iDP(Identity Provider)의 컨피그레이션 이해
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
· Cisco FMC(Secure Firewall Management Center) 버전 7.2.4
· Duo를 ID 제공자로 사용
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
이러한 iDP는 지원되며 인증을 위해 테스트됩니다.
· 옥타
· 원로그인
· PingID
· Azure AD
· 기타(SAML 2.0을 준수하는 모든 iDP)
참고: 새로운 라이센스 요구 사항은 없습니다. 이 기능은 라이센스 및 평가 모드에서 작동합니다.
제한 사항
FMC 액세스를 위한 SSO 인증에는 다음과 같은 제한 사항이 있습니다.
· SSO는 글로벌 도메인에 대해서만 구성할 수 있습니다.
· HA 쌍에 참여하는 FMC 디바이스는 개별 컨피그레이션이 필요합니다.
· 로컬/AD 관리자만 FMC에서 SSO를 구성할 수 있습니다(SSO 관리자 사용자는 FMC에서 SSO 설정을 구성/업데이트할 수 없음).
네트워크 다이어그램
Duo(Identity Provider)의 컨피그레이션 단계
Dashboard(대시보드)에서 Applications(애플리케이션)로 이동합니다.
예 url: https://admin-debXXXXX.duosecurity.com/applications
애플리케이션 보호를 선택합니다.
일반 SAML 서비스 공급자를 검색합니다.
인증서 및 XML 다운로드
서비스 공급자를 구성합니다.
SAML Settings(SAML 설정)를 입력합니다.
Single Sign-on URL: https://<fmc URL>/saml/acs
대상 그룹 URI(SP Entity ID): https://<fmc URL>/saml/metadata
기본 릴레이 상태: /ui/login
Apply Policy to All Users(모든 사용자에게 정책 적용)를 구성합니다.
자세한 정책 적용.
적절한 사용자 지정 정책에서 필요한 관리자 그룹을 선택합니다.
필요한 관리 설정을 구성합니다.
응용 프로그램을 저장합니다.
Secure Firewall Management Center의 구성 단계
관리자 권한으로 FMC에 로그인합니다. System > Users(시스템> 사용자)로 이동합니다.
이 이미지에 표시된 대로 Single Sign-On을 클릭합니다.
단일 로그인 옵션을 활성화합니다(기본적으로 비활성화됨).
FMC에서 SSO 컨피그레이션을 시작하려면 Configure SSO(SSO 구성)를 클릭합니다.
Firewall Management Center SAML Provider를 선택합니다. Next(다음)를 클릭합니다.
이 데모에서는 기타가 사용됩니다.
Upload XML file(XML 파일 업로드)을 선택하고 Duo Configuration(듀오 컨피그레이션)에서 이전에 검색한 XML 파일을 업로드할 수도 있습니다.
파일이 업로드되면 FMC에 메타데이터가 표시됩니다. 이 이미지에 표시된 대로 Next(다음)를 클릭합니다.
메타데이터를 확인합니다. 이 이미지에 표시된 대로 Save를 클릭합니다.
고급 컨피그레이션에서 역할 매핑/기본 사용자 역할을 구성합니다.
컨피그레이션을 테스트하려면 이 이미지에 표시된 대로 Test Configuration(컨피그레이션 테스트)을 클릭합니다.
성공적인 테스트 연결의 예.
Apply(적용)를 클릭하여 컨피그레이션을 저장합니다.
SSO가 활성화되었습니다.
다음을 확인합니다.
브라우저에서 FMC URL로 이동합니다. https://<fmc URL>. Single Sign-On을 클릭합니다.
iDP(Duo) 로그인 페이지로 이동합니다. SSO 자격 증명을 제공합니다. 로그인을 클릭합니다.
성공하면 로그인하여 FMC 기본 페이지를 볼 수 있습니다.
FMC에서 System(시스템) > Users(사용자)로 이동하여 데이터베이스에 추가된 SSO 사용자를 확인합니다.