Inleiding
In dit document wordt beschreven hoe het Firepower Management Center (FMC) Single Sign-On (SSO) kan worden geconfigureerd met Azure als Identity Provider (idP).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Basiskennis van Firepower Management Center
- Basiskennis van Single Sign-On
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende softwareversies:
- Cisco Firepower Management Center (FMC) versie 6.7.0
- Azure - IDp
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
SAML-terminologieën
Security Assertion Markup Language (SAML) is meestal het onderliggende protocol dat SSO mogelijk maakt. Een bedrijf heeft een enkele inlogpagina, achter het is een identiteitsarchief en verschillende authenticatieregels. Het kan eenvoudig elke web-app die SAML ondersteunt, die u in staat stelt om in te loggen op alle web-applicaties. Het heeft ook het veiligheidsvoordeel dat het gebruikers niet dwingt om wachtwoorden te behouden (en mogelijk te hergebruiken) voor elke web app die ze nodig hebben, noch om wachtwoorden bloot te stellen aan die web apps.
De configuratie voor SAML moet op twee plaatsen worden uitgevoerd: bij de IDp en bij de SP. De IDp moet worden geconfigureerd zodat het weet waar en hoe gebruikers te verzenden wanneer ze willen inloggen op een specifieke SP. De SP moet worden geconfigureerd zodat het weet dat het op SAML beweringen kan vertrouwen die door de IDp worden ondertekend.
Definitie van een paar termen die de kern van SAML zijn:
-
Identity Provider (IDP) - De software tool of dienst (vaak gevisualiseerd door een login pagina en/of dashboard) die de authenticatie uitvoert; controleert gebruikersnaam en wachtwoorden, verifieert de accountstatus, haalt twee-factoren en andere authenticatie aan.
-
Service Provider (SP) - De webtoepassing waar de gebruiker probeert toegang te krijgen.
-
SAML Assertion - Een bericht dat de identiteit van een gebruiker en vaak andere kenmerken bevestigt, via HTTP via browser omleidingen
Configuratie IDp
Specificaties voor een SAML bewering, wat het bevat, en hoe het moet worden geformatteerd, worden verstrekt door SP en ingesteld bij IdP.
- EntityID - Een wereldwijd unieke naam voor de SP. De formaten variëren, maar het is meer en meer gebruikelijk om deze waarde als URL geformatteerd te zien.
Voorbeeld: https://<FQDN-or-IPaddress>/saml/metadata
- Assertion Consumer Service (ACS) Validator - Een veiligheidsmaatregel in de vorm van een reguliere expressie (regex) die ervoor zorgt dat de SAML-bewering wordt verzonden naar de juiste ACS. Dit komt alleen in werking tijdens door SP geïnitieerde logins waar het SAML-verzoek een ACS-locatie bevat, zodat deze ACS-validator ervoor zou zorgen dat de door SAML-verzoek verstrekte ACS-locatie legitiem is.
Voorbeeld: https://<FQDN-or-IPaddress>/saml/acs
- Kenmerken - Het aantal en de indeling van eigenschappen kan aanzienlijk variëren. Er is meestal ten minste één attribuut, de nameID, wat doorgaans de gebruikersnaam is van de gebruiker die probeert in te loggen.
- SAML-handtekeningsalgoritme - SHA-1 of SHA-256. Minder vaak SHA-384 of SHA-512. Dit algoritme wordt gebruikt in combinatie met het X.509 certificaat wordt hier vermeld.
SP-configuratie
De omgekeerde van de sectie hierboven, deze sectie spreekt aan informatie die door IdP en reeks bij SP wordt verstrekt.
- URL van de uitgever - unieke identificatiecode van de IDp. Opgemaakt als een URL met informatie over de IDp zodat de SP kan bevestigen dat de SAML-beweringen die het ontvangt worden uitgegeven van de juiste IDp.
- SAML SLO (Single Log-out) Endpoint - Een IDP-endpoint dat uw IDP-sessie sluit wanneer deze door de SP wordt doorgestuurd, doorgaans nadat op uitloggen is geklikt.
Bijvoorbeeld: https://access.wristbandtent.com/logout
SAML op FMC
De SSO-functie in het VCC wordt geïntroduceerd vanaf 6.7. De nieuwe functie vereenvoudigt de VCC-autorisatie (RBAC), omdat de informatie wordt afgestemd op de taken van het VCC. Het is van toepassing op alle FMC UI-gebruikers en FMC-rollen. Op dit moment ondersteunt het SAML 2.0 Specificatie en deze ondersteunde IDP's
Beperkingen en voorbehouden
-
SSO kan alleen worden geconfigureerd voor het Global Domain.
-
VCC's in HA-paar moeten individueel worden geconfigureerd.
-
Alleen lokale/AD-beheerders kunnen eenmalige aanmelding configureren.
- SSO gestart vanaf Idp wordt niet ondersteund.
Configureren
Configuratie bij Identity Provider
Stap 1. Meld u aan bij Microsoft Azure. Ga naar Azure Active Directory > Enterprise Application.
- Stap 2. Maak Nieuwe Toepassing onder Non-Gallery Toepassing, zoals in deze afbeelding:
Stap 3. Bewerk de Applicatie die is gemaakt en navigeer naar Enkelvoudig Instellen > SAML, zoals in deze afbeelding.
Stap 4. Bewerk de basisconfiguratie van SAML en geef de FMC-gegevens op:
- URL voor VCC: https://<FMC-FQDN-or-IP-adres>
- Identificatiecode (entiteit-ID): https://<FMC-FQDN-or-IPaddress>/saml/metadata
- Antwoord URL: https://<FMC-FQDN-or-IP-adres>/saml/acs
- Aanmelden URL: https://<FMC-QDN-or-IP-adres>/saml/acs
- RelayState:/ui/login
Houd de rest als standaard - dit wordt verder besproken voor op rollen gebaseerde toegang.
Dit markeert het einde van de configuratie van de Identity Provider. Download de Federatie Metadata XML die wordt gebruikt voor FMC Configuration.
Configuratie op Firepower Management Center
Stap 1. Log in bij FMC, navigeer naar Instellingen > Gebruikers > Single Sign-On en schakel SSO in. Selecteer Azure als provider.
Stap 2. Upload hier het XML-bestand dat is gedownload van Azure. Het vult automatisch alle benodigde details in.
Stap 3. Controleer de configuratie en klik op Opslaan, zoals in deze afbeelding.
Geavanceerde configuratie - RBAC met Azure
Om verschillende roltypes te gebruiken om rollen van FMC in kaart te brengen - moet u het manifest van de toepassing op Azure bewerken om waarden toe te wijzen aan rollen. Standaard hebben de rollen de waarde Null.
Stap 1. Navigeer naar de Applicatie die is aangemaakt en klik op Single sign-on.
Stap 2. Bewerk de Gebruikerskenmerken en -claims. Voeg een nieuwe claim toe met Naam: rollen en selecteer de waarde als user.assignedroles.
Stap 3. Navigeer naar <Application-Name> > Manifest. Bewerk het manifest. Het bestand heeft de JSON-indeling en er is een standaardgebruiker beschikbaar om te kopiëren. Bijvoorbeeld - hier worden 2 rollen gecreëerd: Gebruiker en Analyst.
Stap 4. Navigeer naar <Application-Name> Gebruikers en groepen. Bewerk de gebruiker en wijs de nieuwe rollen toe, zoals in deze afbeelding.
Stap 4. Log in op FMC en bewerk de Advanced Configuration in SSO. Bijvoorbeeld, Group Member Attribute: wijs de Display naam die u in Application Manifest hebt opgegeven toe aan de rollen.
Zodra dat is gedaan, kunt u inloggen op hun aangewezen rol.
Verifiëren
Stap 1. Navigeer naar de FMC URL vanuit uw browser: https://<FMC URL>. Klik op Single Sign-On, zoals in deze afbeelding.
Je wordt dan doorgestuurd naar de Microsoft login pagina en als je inlogt, krijg je de FMC standaard pagina terug.
Stap 2. Op FMC, navigeer naar Systeem > Gebruikers om de SSO-gebruiker toegevoegd aan de database te zien.
Problemen oplossen
Controleer de SAML-verificatie en dit is de workflow die u voor een succesvolle autorisatie kunt realiseren (dit beeld maakt deel uit van een laboratoriumomgeving):
Browser SAML Logs
FMC SAML Logs
Controleer de SAML-logbestanden bij het VCC op /var/log/auth-daemon.log