تكوين تعيين نهج المجموعة ل SAML باستخدام جدار الحماية الآمن ومعرف Microsoft Entra
المقدمة
يصف هذا المستند كيفية تعيين سياسات المجموعة باستخدام معرف بطاقة Microsoft لمصادقة SAML ل Cisco Secure Client على جدار الحماية الآمن من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- Cisco Secure Client AnyConnect VPN
- Cisco Firepower Threat Defense (FTD) أو Cisco Secure Firewall ASA Remote Access VPN و Single Sign-On (SSO) Server Object
- تكوين موفر هوية معرف Microsoft Entra (IDp)
المكونات المستخدمة
أسست المعلومة في هذا مرشد على هذا جهاز وبرمجية صيغة:
- FTD الإصدار 7.6
- FMC، الإصدار 7.6
- MS Entra ID SAML IDp
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
SAML (لغة تمييز تأكيد الأمان) هي إطار عمل يستند إلى XML لتبادل بيانات المصادقة والتفويض بين مجالات الأمان. فهو يعمل على إنشاء دائرة من الثقة بين المستخدم ومزود الخدمة (SP) ومزود الهوية (IDp) مما يسمح للمستخدم بتسجيل الدخول مرة واحدة لعدة خدمات. يمكن إستخدام SAML لمصادقة الوصول عن بعد VPN ل Cisco Secure Client Connections to ASA و FTD VPN HeadEnd، حيث يكون ASA أو FTD جزء SP من دائرة الثقة.
في هذا المستند، يتم إستخدام Microsoft Entra ID/Azure ك IdP. ومع ذلك، من الممكن أيضا تعيين سياسات مجموعة باستخدام معرفات أخرى لأنها تستند إلى سمات قياسية يمكن إرسالها في تأكيد SAML.
ملاحظة: مدرك أن كل مستخدم يجب أن ينتمي فقط إلى مجموعة مستخدمين واحدة على معرف MS Entra، حيث أن سمات SAML المتعددة التي يتم إرسالها إلى ASA أو FTD يمكن أن تتسبب في حدوث مشاكل مع تعيين سياسة المجموعة كما هو مفصل في معرف تصحيح الأخطاء من Cisco CSCwm33613
التكوين
تكوين FMC SAML
في FMC، انتقل إلى الكائنات > إدارة الكائن > خادم AAA > خادم تسجيل الدخول الأحادي. يتم الحصول على معرف الوحدة، وعنوان URL SSO، وعنوان URL لتسجيل الخروج، وشهادة مزود الهوية من المعرف، راجع الخطوة 6 في قسم معرف Microsoft Entra. محدد موقع المعلومات الأساسي وشهادة مزود الخدمة محددان ل FTD التكوين الذي تتم إضافته إليه.
تكوين كائن SSO ل FMC
تكوين مجموعة النفق FMC RAPN
في FMC، انتقل إلى الأجهزة > VPN > الوصول عن بعد > ملف تعريف الاتصال وحدد، أو قم بإنشاء، سياسة VPN ل FTD الذي تقوم بتكوينه. بمجرد تحديده، قم بإنشاء توصيف توصيل مشابه لما يلي:
تعيين عنوان ملف تعريف اتصال FMC
تكوين AAA لملف تعريف اتصال FMC
تكوين نهج مجموعة RAPN ل FMC
1. يجب إنشاء نهج مجموعة بالخيارات المطلوبة لكل مجموعة مستخدمين على معرف Entra وإضافة إلى نهج RAVPN ل FTD الذي يتم تكوينه. ويتم تحقيق ذلك من خلال التنقل إلى الأجهزة > VPN > الوصول عن بعد > خيارات متقدمة وتحديد نهج المجموعة من الجانب الأيسر، ثم النقر فوق + في الجزء العلوي الأيمن لإضافة نهج مجموعة.
FMC إضافة نهج مجموعة
2. انقر فوق + في القائمة المنبثقة لعرض مربع الحوار لإنشاء نهج مجموعة جديد. قم بتعبئة الخيارات المطلوبة وحفظها.
ملاحظة: إذا كنت قد قمت بإنشاء نهج المجموعة المطلوب بالفعل، فيمكنك تخطي هذه الخطوة والمتابعة باستخدام الخطوة 3
إنشاء نهج مجموعة جديد
خيارات نهج المجموعة
3. حدد نهج المجموعة الذي تم إنشاؤه حديثا في القائمة الموجودة على اليسار وانقر فوق الزر إضافة، ثم انقر فوق موافق لحفظ القائمة.
إضافة نهج المجموعة
بيانات تعريف FTD
بمجرد نشر التكوين في FTD، انتقل إلى واجهة سطر الأوامر (CLI) في FTD ونفذ الأمر show saml metadata <tunnel group name>" وأجمع معرف كيان FTD وعنوان ACS URL.
ملاحظة: تم اقتطاع الشهادة الموجودة في بيانات التعريف للإيجاز.
FTD# show saml metadata SAMLtest
SP Metadata
-----------
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://vpn.example.net/saml/sp/metadata/SAMLtest" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
MIIFWzCCBEOgAwIBAgITRwAAAAgZ9Nmfv5mpJQAAAAAACDANBgkqhkiG9w0BAQsF
ADBJMRMwEQYKCZImiZPyLGQBGRYDY29tMRYwFAYKCZImiZPyLGQBGRYGcnRwdnBu
MRowGAYDVQQDExFydHB2cG4tV0lOQVVUSC1DQTAeFw0yNTAzMjUxNzU5NDZaFw0y
NzAzMjUxNzU5NDZaMDAxDzANBgNVBAoTBlJUUFZQTjEdMBsGA1UEAxMUcnRwdnBu
LWZ0ZC5jaXNjby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC5
5B0tH9RIjvG0MxhpDT3/BpDEFfTcVE2w2fxu5m8gZFTeeezyF5B93rWx+N26V8JE
sB5I1KLTGRj8b9TK6L357cdbgr692Wl952TLFB3XC43gpe0fnN3+Uas/HJ3IudsF
N+QPC9FO4LE88attuGuVMquV+10DRPA06a6QNwkehB0Un7XzTNepJ02JQtxdNR2t
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>
<AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://vpn.example.net/+CSCOE+/saml/sp/acs?tgname=SAMLtest" />
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://vpn.example.net/+CSCOE+/saml/sp/logout"/><SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://vpn.example.net/+CSCOE+/saml/sp/logout"/></SPSSODescriptor>
</EntityDescriptor>
معرف Microsoft Entra
1. في مدخل Microsoft Azure، حدد معرف Microsoft Entra من القائمة الموجودة على اليسار.
معرف Microsoft Entra
2. حدد تطبيقات المؤسسات.
تطبيقات المؤسسات
3. حدد تطبيق جديد.
ملاحظة: إذا كان هناك بالفعل تطبيق مؤسسة تم تكوينه لتكوين واجهة مستخدم FTD، فقم بتخطي الخطوات التالية وتابع على الخطوة 7.
تطبيق MS Entra ID Enterprise
4. حدد جدار الحماية الآمن من Cisco - مصادقة العميل الآمن (المعروفة سابقا باسم AnyConnect) ضمن التطبيقات المميزة. امنح التطبيق اسما وحدد إنشاء.
MS Entra ID تطبيق مصادقة Cisco Secure Firewall Client (المعروف سابقا باسم AnyConnect)
5. بمجرد أن تدخل التطبيق، حدد المستخدمين والمجموعات وقم بتعيين أسماء المستخدمين أو المجموعات المطلوبة للتطبيق.
المستخدمون والمجموعات
6. حدد تسجيل الدخول الأحادي -> SAML واسترد عنوان URL الخاص بتسجيل الدخول ومعرف بطاقة Microsoft وعنوان URL لتسجيل الخروج لقسم تكوين FMC SAML في هذا الدليل.
تسجيل دخول أحادي
عناوين URL ل IdP
7. قم بتكوين تكوين SAML الأساسي باستخدام معرف (معرف الكيان) وعنوان URL الخاص بالرد (ACS) الذي تم إسترداده من بيانات تعريف FTD واحفظها.
تكوين SAML الأساسي
8. حدد تحرير ل السمة والمطالبات وانقر فوق إضافة مطالبة جديدة
السمات والمطالبات
9. يجب أن يكون للمطالبة الجديدة اسم Cisco_group_policy.
إدارة المطالبة
10 - توسيع القسم الخاص بشروط المطالبة. حدد نوع المستخدم والمجموعات ذات النطاق، ثم أختر السمة للمصدر وأضف اسم نهج المجموعة الصحيح من تكوين FTD في حقل القيمة وانقر فوق حفظ.
ملاحظة: اسم نهج المجموعة المخصص من FTD المستخدم في هذا المثال هو نهج المجموعة المسمى SAMLtest-GP الذي تم إنشاؤه في قسم تكوين نهج مجموعة FMC RAPN في هذا الدليل. يجب إستبدال هذه القيمة باسم نهج المجموعة من FTD الذي يتوافق مع كل مجموعة مستخدمين في IdP.
شرط مطالبة معرف MS Entra
التحقق من الصحة
نظام Firepower Threat Defense (FTD)
للتحقق من سياسة المجموعة المطلوبة، تحقق من إخراج show vpn-sessiondb AnyConnect.
FTD# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : RTPVPNtest
Index : 7110
Assigned IP : 192.168.55.3 Public IP : 10.26.162.189
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA256
Bytes Tx : 105817 Bytes Rx : 63694
Group Policy : SAMLtest-GP Tunnel Group : SAMLtest
Login Time : 16:54:17 UTC Fri May 9 2025
Duration : 0h:11m:19s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : ac127ca101bc6000681e3339
Security Grp : none Tunnel Zone : 0
للتحقق من أن IdP يرسل المطالبة المطلوبة، قم بجمع إخراج debug webVPN saml 255 أثناء الاتصال بشبكة VPN. قم بتحليل إخراج التأكيد في تصحيح الأخطاء وقارن قسم السمة بما تم تكوينه على IdP.
<Attribute Name="cisco_group_policy">
<AttributeValue>SAMLtest-GP</AttributeValue>
</Attribute>
استكشاف الأخطاء وإصلاحها
firepower# show run webvpn
firepower# show run tunnel-group
firepower# show crypto ca certificate
firepower# debug webvpn saml 255
firepower# debug webvpn 255
firepower# debug aaa authorization
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
04-Aug-2025
|
الإصدار الأولي |
التعليقات