Konfigurieren von FMC SSO mit Azure als Identity Provider

Download-Optionen

  • PDF     (2.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.3 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:10. Dezember 2020
Dokument-ID:216515

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    In diesem Dokument wird beschrieben, wie das FirePOWER Management Center (FMC) Single Sign-On (SSO) mit Azure als Identity Provider (idP) konfiguriert wird.

    Security Assertion Markup Language (SAML) ist häufig das zugrunde liegende Protokoll, das SSO ermöglicht. Ein Unternehmen unterhält eine einzige Anmeldeseite, hinter der sich ein Identitätsspeicher und verschiedene Authentifizierungsregeln befinden. Es kann problemlos jede Web-App konfigurieren, die SAML unterstützt, sodass Sie sich bei allen Webanwendungen anmelden können. Sie hat außerdem den Sicherheitsvorteil, dass Benutzer weder gezwungen werden, Kennwörter für jede Webanwendung, auf die sie zugreifen müssen, zu verwalten (und diese möglicherweise wiederverwenden), noch Kennwörter für diese Web-Apps freigeben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Grundlegendes Verständnis von FirePOWER Management Center
    • Grundlegende Kenntnisse der Single Sign-On 

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:

    • Cisco FirePOWER Management Center (FMC) Version 6.7.0
    • Azure - IDP

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

    Hintergrundinformationen


    SAML-Terminologie

    Die Konfiguration für SAML muss an zwei Stellen erfolgen: am IdP und am SP. Die IDs müssen so konfiguriert werden, dass sie wissen, wo und wie Benutzer gesendet werden, wenn sie sich bei einem bestimmten Service Provider anmelden möchten.  Der SP muss konfiguriert werden, damit er weiß, dass er SAML-Assertionen vertrauen kann, die von der IdP signiert wurden. 

    Definition einiger Begriffe, die für SAML von grundlegender Bedeutung sind:

    • Identitätsanbieter (Identity Provider, IDP) - Das Software-Tool oder -Service (häufig durch eine Anmeldeseite und/oder ein Dashboard visualisiert), das die Authentifizierung durchführt. überprüft Benutzernamen und Kennwörter, überprüft den Kontostatus, ruft zwei Faktoren auf usw. 

    • Service Provider (SP) - Die Webanwendung, auf die der Benutzer zugreifen möchte. 

    • SAML-Assertion - Eine Nachricht, die die Identität eines Benutzers und häufig andere Attribute bestätigt und über HTTP über Browser weitergeleitet wird.

    IDP-Konfiguration

    Die Spezifikationen für eine SAML-Assertion, was sie enthalten sollte und wie sie formatiert werden soll, werden vom SP bereitgestellt und auf der IdP festgelegt. 

    • EntityID - Ein global eindeutiger Name für den SP. Die Formate variieren, aber dieser Wert wird immer häufiger als URL formatiert angezeigt.
      Beispiel: <https://<FQDN-oder-IP-Adresse>/saml/Metadaten>
    • Assertion Consumer Service (ACS) Validator - Eine Sicherheitsmaßnahme in Form eines regulären Ausdrucks (Regex), die sicherstellt, dass die SAML-Assertion an den richtigen ACS gesendet wird. Dies wird nur bei von einem Service Provider initiierten Anmeldungen angewendet, bei denen die SAML-Anforderung einen ACS-Speicherort enthält. Dieser ACS-Validierungssteuerelement würde also sicherstellen, dass der von der SAML-Anforderung bereitgestellte ACS-Standort legitim ist.
      Beispiel: https://<FQDN-oder-IP-Adresse>/saml/acs
    • Attribute: Anzahl und Format der Attribute können stark variieren. In der Regel gibt es mindestens ein Attribut, die nameID, also in der Regel den Benutzernamen des Benutzers, der sich anmelden möchte.
    • SAML Signature Algorithm - SHA-1 oder SHA-256. Weniger häufig SHA-384 oder SHA-512. Dieser Algorithmus wird zusammen mit dem X.509-Zertifikat verwendet.

    SP-Konfiguration

    Auf der Rückseite des Abschnitts oben finden Sie Informationen, die von der IdP bereitgestellt und am SP festgelegt wurden. 

    • SAML SLO-Endpunkt (Single Log-out) - Ein IDP-Endpunkt, der Ihre IDP-Sitzung schließt, wenn dieser vom Service Provider weitergeleitet wird, in der Regel nachdem Sie auf das Feld "Log out" (Abmelden) geklickt haben.
      Beispiel: https://access.wristbandtent.com/logout

    SAML auf FMC 

    Die SSO-Funktion in FMC wird ab 6.7 eingeführt. Die neue Funktion vereinfacht die FMC-Autorisierung (RBAC), da sie die vorhandenen Informationen den FMC-Rollen zuordnet. Sie gilt für alle Benutzer der FMC-Benutzeroberfläche und alle FMC-Rollen. Derzeit unterstützt sie die SAML 2.0-Spezifikation und diese unterstützten IDPs

    • OKTA

    • OneLogin

    • PingID

    • Azure AD

    • Andere (Alle IDP, die SAML 2.0 entsprechen)

    Einschränkungen und Bedenken

    • SSO kann nur für die globale Domäne konfiguriert werden.

    • FMCs im HA-Paar benötigen eine individuelle Konfiguration.

    • Nur lokale/AD-Administratoren können die einmalige Anmeldung konfigurieren.

    • Von Idp initiierte SSO wird nicht unterstützt.

    Konfiguration

    Konfiguration für Identitätsanbieter 

    Schritt 1: Melden Sie sich bei Microsoft Azure an. Navigieren Sie zu Azure Active Directory > Enterprise Application.

    • Schritt 2: Erstellen Sie neue Anwendung unter Anwendung ohne Galerie, wie in diesem Bild gezeigt.

    Schritt 3: Bearbeiten Sie die erstellte Anwendung, und navigieren Sie zu Set up single sign on > SAML (Single Sign-On > SAML einrichten), wie in diesem Bild gezeigt.

    Schritt 4: Bearbeiten Sie die grundlegende SAML-Konfiguration, und stellen Sie die FMC-Details bereit: 

    • FMC-URL: https://<FMC-FQDN-oder-IP-Adresse>

    • Kennung (Element-ID): https://<FMC-FQDN-or-IP-Adresse>/saml/Metadaten
    • URL antworten: https://<FMC-FQDN-oder-IP-Adresse>/saml/acs

    • URL registrieren: /https://<FMC-QDN-oder-IP-Adresse>/saml/acs

    • RelayState:/ui/login

    Behalten Sie den Rest als Standard bei - dies wird für rollenbasierten Zugriff weiter erläutert.

    Damit ist die Konfiguration des Identitätsanbieters beendet. Laden Sie die Federation Metadata XML herunter, die für die FMC-Konfiguration verwendet wird.

    Konfiguration des FirePOWER Management Center

    Schritt 1: Melden Sie sich bei FMC an, navigieren Sie zu Einstellungen > Benutzer > Single Sign-On und Enable SSO. Wählen Sie Azure als Provider aus. 

    Schritt 2: Laden Sie hier die XML-Datei aus Azure herunter. Hier werden alle erforderlichen Informationen automatisch eingegeben. 

    Schritt 3: Überprüfen Sie die Konfiguration, und klicken Sie auf Speichern, wie in diesem Bild gezeigt.

    Erweiterte Konfiguration - RBAC mit Azure

    Um verschiedene Rollentypen zu verwenden, um den Rollen von FMC zuzuordnen - Sie müssen das Anwendungsmanifest auf Azure bearbeiten, um den Rollen Werte zuzuweisen. Standardmäßig haben die Rollen den Wert Null.

    Schritt 1: Navigieren Sie zur Anwendung, die erstellt wird, und klicken Sie auf Single Sign-on (Einmalige Anmeldung).

    Schritt 2: Bearbeiten Sie die Benutzerattribute und Ansprüche. Neuen Antrag mit Name hinzufügen: Rollen und wählen den Wert als user.assignedroles aus.

    Schritt 3: Navigieren Sie zu <Anwendungsname> > ManifestBearbeiten des Manifests Die Datei ist im JSON-Format, und es steht ein Standardbenutzer zum Kopieren zur Verfügung. Beispiel: Hier werden zwei Rollen erstellt: Benutzer und Analyst.


    Schritt 4: Navigieren Sie zu <Anwendungsname> > Benutzer und Gruppen. Bearbeiten Sie den Benutzer, und weisen Sie die neu erstellten Rollen zu, wie in diesem Bild gezeigt.

    Schritt 4: Melden Sie sich bei FMC an, und bearbeiten Sie die erweiterte Konfiguration in SSO. Für Gruppenmitgliedschaft-Attribut: eineSignieren Sie den Anzeigenamen, den Sie im Anwendungsmanifest bereitgestellt haben, den Rollen.


    Anschließend sollten Sie sich bei der zugewiesenen Rolle anmelden können.

    Überprüfung

    Schritt 1: Navigieren Sie in Ihrem Browser zur FMC-URL: https://<FMC URL>. Klicken Sie auf Single Sign-On, wie in diesem Bild gezeigt.

    Sie werden zur Microsoft-Anmeldeseite umgeleitet, und bei erfolgreicher Anmeldung wird die FMC-Standardseite zurückgegeben.

    Schritt 2: Navigieren Sie auf dem FMC zu System > Users, um den SSO-Benutzer anzuzeigen, der der Datenbank hinzugefügt wurde.

    Fehlerbehebung

    Überprüfen Sie die SAML-Authentifizierung. Dies ist der Workflow, der für eine erfolgreiche Autorisierung erreicht wird (dieses Bild ist in einer Laborumgebung gespeichert):

    SAML-Browserprotokolle

    FMC SAML-Protokolle

    Überprüfen Sie die SAML-Protokolle auf dem FMC unter /var/log/auth-daemon.log.

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Shubham Bharti
      Cisco Professional Services

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.