FMC SSO configureren met Azure als Identity Provider

Downloadopties

  • PDF     (2.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.2 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 augustus 2024
Document-id:216515

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe het Firepower Management Center (FMC) Single Sign-On (SSO) kan worden geconfigureerd met Azure als Identity Provider (idP).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basiskennis van Firepower Management Center
    • Basiskennis van Single Sign-On 

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Cisco Firepower Management Center (FMC) versie 6.7.0
    • Azure - IDp

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie


    SAML-terminologieën

    Security Assertion Markup Language (SAML) is meestal het onderliggende protocol dat SSO mogelijk maakt. Een bedrijf heeft een enkele inlogpagina, achter het is een identiteitsarchief en verschillende authenticatieregels. Het kan eenvoudig elke web-app die SAML ondersteunt, die u in staat stelt om in te loggen op alle web-applicaties. Het heeft ook het veiligheidsvoordeel dat het gebruikers niet dwingt om wachtwoorden te behouden (en mogelijk te hergebruiken) voor elke web app die ze nodig hebben, noch om wachtwoorden bloot te stellen aan die web apps.

    De configuratie voor SAML moet op twee plaatsen worden uitgevoerd: bij de IDp en bij de SP. De IDp moet worden geconfigureerd zodat het weet waar en hoe gebruikers te verzenden wanneer ze willen inloggen op een specifieke SP. De SP moet worden geconfigureerd zodat het weet dat het op SAML beweringen kan vertrouwen die door de IDp worden ondertekend. 

    Definitie van een paar termen die de kern van SAML zijn:

    • Identity Provider (IDP) - De software tool of dienst (vaak gevisualiseerd door een login pagina en/of dashboard) die de authenticatie uitvoert; controleert gebruikersnaam en wachtwoorden, verifieert de accountstatus, haalt twee-factoren en andere authenticatie aan. 

    • Service Provider (SP) - De webtoepassing waar de gebruiker probeert toegang te krijgen. 

    • SAML Assertion - Een bericht dat de identiteit van een gebruiker en vaak andere kenmerken bevestigt, via HTTP via browser omleidingen

    Configuratie IDp

    Specificaties voor een SAML bewering, wat het bevat, en hoe het moet worden geformatteerd, worden verstrekt door SP en ingesteld bij IdP. 

    • EntityID - Een wereldwijd unieke naam voor de SP. De formaten variëren, maar het is meer en meer gebruikelijk om deze waarde als URL geformatteerd te zien.
      Voorbeeld: https://<FQDN-or-IPaddress>/saml/metadata
    • Assertion Consumer Service (ACS) Validator - Een veiligheidsmaatregel in de vorm van een reguliere expressie (regex) die ervoor zorgt dat de SAML-bewering wordt verzonden naar de juiste ACS. Dit komt alleen in werking tijdens door SP geïnitieerde logins waar het SAML-verzoek een ACS-locatie bevat, zodat deze ACS-validator ervoor zou zorgen dat de door SAML-verzoek verstrekte ACS-locatie legitiem is.
      Voorbeeld: https://<FQDN-or-IPaddress>/saml/acs
    • Kenmerken - Het aantal en de indeling van eigenschappen kan aanzienlijk variëren. Er is meestal ten minste één attribuut, de nameID, wat doorgaans de gebruikersnaam is van de gebruiker die probeert in te loggen.
    • SAML-handtekeningsalgoritme - SHA-1 of SHA-256. Minder vaak SHA-384 of SHA-512. Dit algoritme wordt gebruikt in combinatie met het X.509 certificaat wordt hier vermeld.

    Screenshot 2020-11-11 om 11.37.19 AM

    SP-configuratie

    De omgekeerde van de sectie hierboven, deze sectie spreekt aan informatie die door IdP en reeks bij SP wordt verstrekt. 

    • URL van de uitgever - unieke identificatiecode van de IDp. Opgemaakt als een URL met informatie over de IDp zodat de SP kan bevestigen dat de SAML-beweringen die het ontvangt worden uitgegeven van de juiste IDp.
    • SAML SLO (Single Log-out) Endpoint - Een IDP-endpoint dat uw IDP-sessie sluit wanneer deze door de SP wordt doorgestuurd, doorgaans nadat op uitloggen is geklikt.
      Bijvoorbeeld: https://access.wristbandtent.com/logout

    SAML op FMC 

    De SSO-functie in het VCC wordt geïntroduceerd vanaf 6.7. De nieuwe functie vereenvoudigt de VCC-autorisatie (RBAC), omdat de informatie wordt afgestemd op de taken van het VCC. Het is van toepassing op alle FMC UI-gebruikers en FMC-rollen. Op dit moment ondersteunt het SAML 2.0 Specificatie en deze ondersteunde IDP's

    • OKTA

    • OneLogin

    • PingID

    • Azure AD

    • Overige (elke IDP die voldoet aan SAML 2.0)

    Beperkingen en voorbehouden

    • SSO kan alleen worden geconfigureerd voor het Global Domain.

    • VCC's in HA-paar moeten individueel worden geconfigureerd.

    • Alleen lokale/AD-beheerders kunnen eenmalige aanmelding configureren.

    • SSO gestart vanaf Idp wordt niet ondersteund.

    Configureren

    Configuratie bij Identity Provider 

    Stap 1. Meld u aan bij Microsoft Azure. Ga naar Azure Active Directory > Enterprise Application.

    Screenshot 2020-11-11 om 13.00.55 uur

    • Stap 2. Maak Nieuwe Toepassing onder Non-Gallery Toepassing, zoals in deze afbeelding:

    Screenshot 2020-11-11 om 13.08 uur

    Stap 3. Bewerk de Applicatie die is gemaakt en navigeer naar Enkelvoudig Instellen > SAML, zoals in deze afbeelding.

    Screenshot 2020-11-11 om 13.04 uur

    Stap 4. Bewerk de basisconfiguratie van SAML en geef de FMC-gegevens op: 

    • URL voor VCC: https://<FMC-FQDN-or-IP-adres>
    • Identificatiecode (entiteit-ID): https://<FMC-FQDN-or-IPaddress>/saml/metadata
    • Antwoord URL: https://<FMC-FQDN-or-IP-adres>/saml/acs
    • Aanmelden URL: https://<FMC-QDN-or-IP-adres>/saml/acs

    • RelayState:/ui/login

    Screenshot 2020-11-11 om 13.07 uur

    Houd de rest als standaard - dit wordt verder besproken voor op rollen gebaseerde toegang.

    Dit markeert het einde van de configuratie van de Identity Provider. Download de Federatie Metadata XML die wordt gebruikt voor FMC Configuration.

    Configuratie op Firepower Management Center

    Stap 1. Log in bij FMC, navigeer naar Instellingen > Gebruikers > Single Sign-On en schakel SSO in. Selecteer Azure als provider. 

    Screenshot 2020-11-11 om 13.10 uur

    Stap 2. Upload hier het XML-bestand dat is gedownload van Azure. Het vult automatisch alle benodigde details in. 

    Screenshot 2020-11-11 om 13.11.20 uur

    Stap 3. Controleer de configuratie en klik op Opslaan, zoals in deze afbeelding.

    Screenshot 2020-11-11 om 13.12.42 uur

    Geavanceerde configuratie - RBAC met Azure

    Om verschillende roltypes te gebruiken om rollen van FMC in kaart te brengen - moet u het manifest van de toepassing op Azure bewerken om waarden toe te wijzen aan rollen. Standaard hebben de rollen de waarde Null.

    Stap 1. Navigeer naar de Applicatie die is aangemaakt en klik op Single sign-on.

    Screenshot 2020-08-14 om 18.47.29 uur

    Stap 2. Bewerk de Gebruikerskenmerken en -claims. Voeg een nieuwe claim toe met Naam: rollen en selecteer de waarde als user.assignedroles.

    Screenshot 2020-08-14 om 18.43.53 uur

    Stap 3. Navigeer naar <Application-Name> > Manifest. Bewerk het manifest. Het bestand heeft de JSON-indeling en er is een standaardgebruiker beschikbaar om te kopiëren. Bijvoorbeeld - hier worden 2 rollen gecreëerd: Gebruiker en Analyst.

    Screenshot 2020-08-14 om 18.49.28 uur

    Stap 4. Navigeer naar <Application-Name> Gebruikers en groepen. Bewerk de gebruiker en wijs de nieuwe rollen toe, zoals in deze afbeelding.

    Screenshot 2020-08-14 om 18.51.48 uur

    Stap 4. Log in op FMC en bewerk de Advanced Configuration in SSO. Bijvoorbeeld, Group Member Attribute: wijs de Display naam die u in Application Manifest hebt opgegeven toe aan de rollen.

    Screenshot 2020-08-14 om 18.54.17 uur

    Zodra dat is gedaan, kunt u inloggen op hun aangewezen rol.

    Verifiëren

    Stap 1. Navigeer naar de FMC URL vanuit uw browser: https://<FMC URL>. Klik op Single Sign-On, zoals in deze afbeelding.

    Screenshot 2020-11-11 om 13.18 uur

    Je wordt dan doorgestuurd naar de Microsoft login pagina en als je inlogt, krijg je de FMC standaard pagina terug.

    Stap 2. Op FMC, navigeer naar Systeem > Gebruikers om de SSO-gebruiker toegevoegd aan de database te zien.

    Screenshot 2020-11-11 om 13.44.19 uur

    Problemen oplossen

    Controleer de SAML-verificatie en dit is de workflow die u voor een succesvolle autorisatie kunt realiseren (dit beeld maakt deel uit van een laboratoriumomgeving):

    Browser SAML Logs

    Screenshot 2020-11-11 om 13.15 uur

    FMC SAML Logs

    Controleer de SAML-logbestanden bij het VCC op /var/log/auth-daemon.log

    Screenshot 2020-11-11 om 13.16 uur

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    12-Aug-2024
    Eerste vrijgave
    1.0
    10-Dec-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Shubham Bharti
      Cisco Professional-services

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten