يصف هذا وثيقة مصادقة SAML مع Azure Identity Provider لمجموعات نفق متعددة على Cisco ASA.
توصي Cisco بمعرفة الموضوعات التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يمكن أن يدعم Microsoft Azure تطبيقات متعددة لمعرف الكيان نفسه. يتطلب كل تطبيق (تم تعيينه إلى مجموعة نفق مختلفة) شهادة فريدة. في ASA، يمكن تكوين مجموعات أنفاق متعددة لاستخدام تطبيقات مختلفة محمية لموفر هوية التجاوز (IdP) بسبب ميزة شهادة IdP. تسمح هذه الميزة للمسؤولين بتجاوز شهادة IdP الأساسية في كائن خادم تسجيل الدخول الأحادي (SSO) بشهادة IdP معينة لكل مجموعة أنفاق. تم إدخال هذه الميزة على ASA من الإصدار 9.17.1 فصاعدا.
عندما يقوم المستخدم النهائي بتهيئة سجل الدخول عن طريق الوصول إلى ASA، يستمر سلوك تسجيل الدخول ك:
1. عند وصول مستخدم شبكة VPN إلى مجموعة أنفاق SAML ممكنة أو إختياره، تتم إعادة توجيه المستخدم النهائي إلى معرف SAML للمصادقة. تتم مطالبة المستخدم ما لم يقم المستخدم بالوصول إلى عنوان URL الخاص بالمجموعة مباشرة، وفي هذه الحالة تكون إعادة التوجيه صامتة.
2. يقوم ASA بإنشاء طلب مصادقة SAML، والذي يقوم المستعرض بإعادة توجيهه إلى معرف SAML.
3. يتحدى معرف المستخدم النهائي بيانات الاعتماد ويسجل المستخدم النهائي الدخول. يجب أن تفي بيانات الاعتماد المدخلة بتكوين مصادقة IdP.
4. يتم إرسال إستجابة IdP مرة أخرى إلى المستعرض ويتم نشرها إلى عنوان URL لتسجيل دخول ASA. يتحقق ASA من الاستجابة لإكمال تسجيل الدخول.
في هذا المثال، تتم إضافة تكامل Microsoft Entra SSO مع جدار حماية Cisco الآمن - يتم إضافة "عميل آمن" على Azure لمجموعات الأنفاق التي تم تكوينها على ASA:
لتكوين تكامل جدار الحماية الآمن من Cisco - العميل الآمن في معرف بطاقة Microsoft Entra، يجب إضافة Cisco Secure Firewall - العميل الآمن من المعرض إلى قائمة تطبيقات SAAs المدارة.
ملاحظة: الغرض من هذه الخطوات هو إضافة Cisco Secure Firewall - Secure Client إلى المعرض الخاص بمجموعة النفق الأولى، SAML1.
الخطوة 1. سجل الدخول إلى مدخل Azure واختر معرف Microsoft Entra.
معرف Microsoft Entra
الخطوة 2. كما هو موضح في الصورة، أختر تطبيقات المؤسسات.
تطبيقات المؤسسات
الخطوة 3. أختر تطبيق جديد.
تطبيق جديد
الخطوة 4. في قسم الإضافة من المعرض، اكتب Cisco Secure Firewall - Secure Client في مربع البحث، واختر Cisco Secure Firewall - Secure Client من لوحة النتائج، ثم أضف التطبيق.
Cisco Secure Firewall - Secure Client
الخطوة 5. أختر عنصر قائمة تسجيل الدخول الأحادي.
إعداد تسجيل الدخول الأحادي
الخطوة 6. أختر SAML في Select a Single Sign-on MethodPage.
سامل
الخطوة 7. في صفحة إعداد تسجيل الدخول الأحادي باستخدام SAML، انقر على أيقونة تحرير/قلم تكوين SAML الأساسي لتحرير الإعدادات.
تكوين SAML الأساسيالخطوة 8. في صفحة إعداد تسجيل الدخول الأحادي باستخدام SAML، أدخل القيم الخاصة بهذه الحقول:
https://<VPN URL>/saml/sp/metadata/<tunnel_group_name>
https://<VPN URL>/+CSCOE+/saml/sp/acs؟tgname=<tunnel_group_name> [tunnel_group_name = SAML1]
ملاحظة: Tunnel_group_name حساس لحالة الأحرف ويجب ألا تحتوي القيمة على نقاط '.' وتقطع '/'.
الخطوة 9. في صفحة إعداد تسجيل الدخول الأحادي باستخدام SAML، في قسم شهادة توقيع SAML، ابحث عن الشهادة (Base64) واختر تنزيل لتنزيل ملف الشهادة وحفظه على الكمبيوتر.
تنزيل الشهادة (Base64)
ملاحظة: تم إستيراد هذه الشهادة التي تم تنزيلها إلى ASA TrustPoint AzureAD-AC-SAML1. ارجع إلى قسم تكوين ASA للحصول على مزيد من التفاصيل.
الخطوة 10. في قسم إعداد جدار الحماية الآمن من Cisco - العميل الآمن، انسخ عنوان (عناوين) URL المناسب استنادا إلى متطلباتك. يتم إستخدام عنوان (عناوين) URL هذه لتكوين كائن خادم SSO على ASA.
URL الخاص ب SSO
ملاحظة: كرر خطوات التكوين السابقة لإضافة جدار حماية Cisco الآمن - تطبيق عميل آمن من المعرض لمجموعة النفق الثانية. اسم مجموعة النفق الثانية في هذه الحالة هو SAML2.
أثناء إضافة جدار الحماية الآمن من Cisco - تطبيق العميل الآمن لمجموعة النفق الثانية (SAML 2)، يتم تنزيل شهادة Azure في الخطوة 8. يتم إستيرادها إلى AzureAD-AC-SAML2 لنقطة الثقة ASA.
في هذا القسم، يتم تمكين Test1 و Test2 لاستخدام Azure SSO، نظرا لأنك تمنح الوصول إلى تطبيق Cisco Secure Client.
لتطبيق IDp الأول:
الخطوة 1. في صفحة النظرة العامة على تطبيق IdP الأول، أختر مستخدمين ومجموعات، ثم أضف مستخدما.
المستخدم والمجموعات
الخطوة 2. أختر مستخدمين أو مجموعات في مربع حوار إضافة مهمة.
إضافة مهمة 1
الخطوة 3. في مربع الحوار إضافة مهمة، انقر فوق الزر تعيين.
تعيين مستخدم Test1
لتطبيق IDp الثاني:
كرر الخطوات السابقة للتطبيق الثاني كما هو موضح في هذه الصور:
إضافة مهمة 2
تعيين مستخدم Test2
تعيين مستخدم Test1:
إختبار تعيين مستخدم واحد
تعيين المستخدم Test2:
إختبار 2 تعيين مستخدم
الخطوة 1. إنشاء نقاط ثقة واستيراد شهادات SAML.
تكوين نقطتي ثقة واستيراد شهادات SAML الخاصة بكل مجموعة نفق:
config t
crypto ca trustpoint AzureAD-AC-SAML1 revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML1 -----BEGIN CERTIFICATE----- … PEM Certificate Text you downloaded from AzureAD goes here … -----END CERTIFICATE----- quit
!
!
crypto ca trustpoint AzureAD-AC-SAML2 revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML2 -----BEGIN CERTIFICATE----- … PEM Certificate Text you downloaded from AzureAD goes here … -----END CERTIFICATE----- quit
الخطوة 2. قم بتكوين معرف SAML.
قم بتشغيل هذه الأوامر لتوفير إعدادات معرف SAML.
webvpn saml idp https://xxx.windows.net/xxxxxxxxxxxxx/ - [Azure AD Identifier] url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 - [Login URL] url sign-out https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 – [Logout URL] trustpoint idp AzureAD-AC-SAML1 - [IdP Trustpoint] trustpoint sp ASA-EXTERNAL-CERT - [SP Trustpoint] no force re-authentication no signature base-url https://asa.example.com
الخطوة 3. تطبيق مصادقة SAML على مجموعة نفق VPN الأولى.
قم بتكوين مجموعة نفق SAML1 باستخدام AzureAD-AC-SAML1 IdTrustPoint.
tunnel-group SAML1 webvpn-attributes
authentication saml
group-alias SAML1 enable
saml identity-provider https://xxx.windows.net/xxxxxxxxxxxxx/
saml idp-trustpoint AzureAD-AC-SAML1 <---- Overrides the primary IDP certificate in the Single Sign-On (SSO) Server object
الخطوة 4. تطبيق مصادقة SAML على مجموعة نفق VPN الثانية.
قم بتكوين مجموعة النفق SAML2 باستخدام AzureAD-AC-SAML2 IdTrustPoint.
tunnel-group SAML2 webvpn-attributes
authentication saml
group-alias SAML2 enable
saml identity-provider https://xxx.windows.net/xxxxxxxxxxxxx/
saml idp-trustpoint AzureAD-AC-SAML2 <---- Overrides the primary IDP certificate in the Single Sign-On (SSO) Server object
الخطوة 5: حفظ التكوين.
write memory
ملاحظة: إذا قمت بإجراء تغييرات على تكوين IdP، فيجب عليك إزالة تكوين SAML Identity-provider من مجموعة الأنفاق الخاصة بك، وإعادة تطبيقه لكي تصبح التغييرات فعالة.
إختبار AnyConnect بمصادقة SAML.
الخطوة 1. اتصل بعنوان URL الخاص بالشبكة الخاصة الظاهرية (VPN) وأدخل تفاصيل Azure AD.
الخطوة 2. (إختياري) الموافقة على طلب تسجيل الدخول.
الخطوة 3. يتم توصيل AnyConnect.
تتضمن معظم أستكشاف أخطاء SAML وإصلاحها تكوين غير صحيح يمكن العثور عليه عند التحقق من تكوين SAML، أو عند تشغيل تصحيح الأخطاء. يمكن إستخدام debug webVPN saml 255 لاستكشاف أخطاء معظم المشاكل وإصلاحها، ومع ذلك، في السيناريوهات التي لا يوفر فيها تصحيح الأخطاء هذا معلومات مفيدة، يمكن تشغيل تصحيحات إضافية مثل:
debug webvpn saml 255 debug webvpn 255 debug webvpn session 255 debug webvpn request 255
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
08-Jul-2026
|
تم تحديث التدقيق الإملائي والنحوي والمسافات والأجزاء المضافة لأقسام القابلية للقراءة والفصل وتم تحديثها لتنبيهات CCW. |
1.0 |
28-Mar-2025
|
الإصدار الأولي |