Inleiding
In dit document wordt beschreven hoe u het Secure Firewall Management Center (FMC) kunt configureren voor verificatie via Single Sign-On (SSO) voor beheertoegang.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
· Basiskennis van Single Sign-On en SAML
· Inzicht in de configuratie op de Identity Provider (iDP)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende softwareversies:
· Cisco Secure Firewall Management Center (FMC) versie 7.2.4
· Duo als de Identity Provider
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Deze iDP's worden ondersteund en worden getest voor verificatie:
Okta
· OneLogin
· PingID
· Azure AD
· Andere (elke iDP die voldoet aan SAML 2.0)
Opmerking: geen nieuwe licentie vereist. Deze optie werkt zowel in gelicentieerde als in evaluatiemodus.
Beperkingen en beperkingen
Dit zijn bekende beperkingen en beperkingen voor SSO-verificatie voor FMC-toegang:
· SSO kan alleen worden geconfigureerd voor het Global Domain.
· FMC-apparaten die deelnemen aan HA-paar moeten individueel worden geconfigureerd.
· Alleen lokale/AD-beheerders kunnen SSO op FMC configureren (SSO-beheerders kunnen SSO-instellingen op FMC niet configureren of bijwerken).
Netwerkdiagram
Configuratiestappen op de Identity Provider (Duo)
Ga vanuit het Dashboard naar Toepassingen:
Voorbeeld URL: https://admin-debXXXXX.duosecurity.com/applications
Selecteer Bescherm een toepassing.
Zoeken naar generieke SAML-serviceprovider.
Download certificaat en XML.
Serviceprovider configureren.
Voer de SAML-instellingen in:
Enkelvoudige aanmelding via URL: https://<fmc URL>/saml/acs
URI (SP Entity ID) van het publiek: https://<fmc URL>/saml/metadata
Standaard RelayState: /ui/login
Configuratie van beleid toepassen op alle gebruikers.
Gedetailleerd Pas een beleid toe.
Kies de gewenste beheerdersgroep in het juiste Aangepast beleid.
Configureer de benodigde beheerinstellingen.
Toepassing opslaan.
Configuratiestappen voor Secure Firewall Management Center
Log in bij het VCC met beheerdersrechten. Ga naar Systeem > Gebruikers.
Klik op Single Sign-On, zoals in deze afbeelding.
Schakel de optie Enkelvoudige aanmelding in (standaard uitgeschakeld).
Klik op SSO configureren om SSO-configuratie op FMC te starten.
Selecteer de Firewall Management Center SAML Provider. Klik op Next (Volgende).
Voor deze demonstratie wordt Overige gebruikt.
U kunt ook kiezen voor Upload XML-bestand en het XML-bestand uploaden dat eerder is opgehaald uit Duo Configuration.
Wanneer het bestand is geüpload, geeft het VCC de metagegevens weer. Klik op Volgende, zoals in deze afbeelding.
Controleer de metadata. Klik op Opslaan, zoals in deze afbeelding.
Configureer de rol Toewijzing van rollen/standaardgebruikersrol onder Geavanceerde configuratie.
Klik op Testconfiguratie om de configuratie te testen, zoals in deze afbeelding wordt weergegeven.
Voorbeeld getoond van een succesvolle testverbinding.
Klik op Toepassen om de configuratie op te slaan.
SSO is ingeschakeld.
Verifiëren
Navigeer naar de FMC URL vanuit uw browser: https://<fmc URL>. Klik op Eenmalige aanmelding.
Je wordt doorgestuurd naar de iDP (Duo) inlogpagina. Geef uw SSO-referenties op. Klik op Inloggen.
Als dit lukt, kunt u inloggen en de standaardpagina van het VCC bekijken.
In FMC, navigeer aan Systeem > Gebruikers om de gebruiker te zien SSO die aan het gegevensbestand wordt toegevoegd.