In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie das FirePOWER Management Center (FMC) Single Sign-On (SSO) mit Azure als Identity Provider (idP) konfiguriert wird.
Security Assertion Markup Language (SAML) ist häufig das zugrunde liegende Protokoll, das SSO ermöglicht. Ein Unternehmen unterhält eine einzige Anmeldeseite, hinter der sich ein Identitätsspeicher und verschiedene Authentifizierungsregeln befinden. Es kann problemlos jede Web-App konfigurieren, die SAML unterstützt, sodass Sie sich bei allen Webanwendungen anmelden können. Sie hat außerdem den Sicherheitsvorteil, dass Benutzer weder gezwungen werden, Kennwörter für jede Webanwendung, auf die sie zugreifen müssen, zu verwalten (und diese möglicherweise wiederverwenden), noch Kennwörter für diese Web-Apps freigeben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
SAML-Terminologie
Die Konfiguration für SAML muss an zwei Stellen erfolgen: am IdP und am SP. Die IDs müssen so konfiguriert werden, dass sie wissen, wo und wie Benutzer gesendet werden, wenn sie sich bei einem bestimmten Service Provider anmelden möchten. Der SP muss konfiguriert werden, damit er weiß, dass er SAML-Assertionen vertrauen kann, die von der IdP signiert wurden.
Definition einiger Begriffe, die für SAML von grundlegender Bedeutung sind:
Identitätsanbieter (Identity Provider, IDP) - Das Software-Tool oder -Service (häufig durch eine Anmeldeseite und/oder ein Dashboard visualisiert), das die Authentifizierung durchführt. überprüft Benutzernamen und Kennwörter, überprüft den Kontostatus, ruft zwei Faktoren auf usw.
Service Provider (SP) - Die Webanwendung, auf die der Benutzer zugreifen möchte.
SAML-Assertion - Eine Nachricht, die die Identität eines Benutzers und häufig andere Attribute bestätigt und über HTTP über Browser weitergeleitet wird.
Die Spezifikationen für eine SAML-Assertion, was sie enthalten sollte und wie sie formatiert werden soll, werden vom SP bereitgestellt und auf der IdP festgelegt.
Auf der Rückseite des Abschnitts oben finden Sie Informationen, die von der IdP bereitgestellt und am SP festgelegt wurden.
https://access.wristbandtent.com/logout
Die SSO-Funktion in FMC wird ab 6.7 eingeführt. Die neue Funktion vereinfacht die FMC-Autorisierung (RBAC), da sie die vorhandenen Informationen den FMC-Rollen zuordnet. Sie gilt für alle Benutzer der FMC-Benutzeroberfläche und alle FMC-Rollen. Derzeit unterstützt sie die SAML 2.0-Spezifikation und diese unterstützten IDPs
OKTA
OneLogin
PingID
Azure AD
Andere (Alle IDP, die SAML 2.0 entsprechen)
SSO kann nur für die globale Domäne konfiguriert werden.
FMCs im HA-Paar benötigen eine individuelle Konfiguration.
Nur lokale/AD-Administratoren können die einmalige Anmeldung konfigurieren.
Schritt 1: Melden Sie sich bei Microsoft Azure an. Navigieren Sie zu Azure Active Directory > Enterprise Application.
Schritt 3: Bearbeiten Sie die erstellte Anwendung, und navigieren Sie zu Set up single sign on > SAML (Single Sign-On > SAML einrichten), wie in diesem Bild gezeigt.
Schritt 4: Bearbeiten Sie die grundlegende SAML-Konfiguration, und stellen Sie die FMC-Details bereit:
Behalten Sie den Rest als Standard bei - dies wird für rollenbasierten Zugriff weiter erläutert.
Damit ist die Konfiguration des Identitätsanbieters beendet. Laden Sie die Federation Metadata XML herunter, die für die FMC-Konfiguration verwendet wird.
Schritt 1: Melden Sie sich bei FMC an, navigieren Sie zu Einstellungen > Benutzer > Single Sign-On und Enable SSO. Wählen Sie Azure als Provider aus.
Schritt 2: Laden Sie hier die XML-Datei aus Azure herunter. Hier werden alle erforderlichen Informationen automatisch eingegeben.
Schritt 3: Überprüfen Sie die Konfiguration, und klicken Sie auf Speichern, wie in diesem Bild gezeigt.
Um verschiedene Rollentypen zu verwenden, um den Rollen von FMC zuzuordnen - Sie müssen das Anwendungsmanifest auf Azure bearbeiten, um den Rollen Werte zuzuweisen. Standardmäßig haben die Rollen den Wert Null.
Schritt 1: Navigieren Sie zur Anwendung, die erstellt wird, und klicken Sie auf Single Sign-on (Einmalige Anmeldung).
Schritt 2: Bearbeiten Sie die Benutzerattribute und Ansprüche. Neuen Antrag mit Name hinzufügen: Rollen und wählen den Wert als user.assignedroles aus.
Schritt 3: Navigieren Sie zu <Anwendungsname> > Manifest. Bearbeiten des Manifests Die Datei ist im JSON-Format, und es steht ein Standardbenutzer zum Kopieren zur Verfügung. Beispiel: Hier werden zwei Rollen erstellt: Benutzer und Analyst.
Schritt 4: Navigieren Sie zu <Anwendungsname> > Benutzer und Gruppen. Bearbeiten Sie den Benutzer, und weisen Sie die neu erstellten Rollen zu, wie in diesem Bild gezeigt.
Schritt 4: Melden Sie sich bei FMC an, und bearbeiten Sie die erweiterte Konfiguration in SSO. Für Gruppenmitgliedschaft-Attribut: eineSignieren Sie den Anzeigenamen, den Sie im Anwendungsmanifest bereitgestellt haben, den Rollen.
Anschließend sollten Sie sich bei der zugewiesenen Rolle anmelden können.
Schritt 1: Navigieren Sie in Ihrem Browser zur FMC-URL: https://<FMC URL>. Klicken Sie auf Single Sign-On, wie in diesem Bild gezeigt.
Sie werden zur Microsoft-Anmeldeseite umgeleitet, und bei erfolgreicher Anmeldung wird die FMC-Standardseite zurückgegeben.
Schritt 2: Navigieren Sie auf dem FMC zu System > Users, um den SSO-Benutzer anzuzeigen, der der Datenbank hinzugefügt wurde.
Überprüfen Sie die SAML-Authentifizierung. Dies ist der Workflow, der für eine erfolgreiche Autorisierung erreicht wird (dieses Bild ist in einer Laborumgebung gespeichert):
Überprüfen Sie die SAML-Protokolle auf dem FMC unter /var/log/auth-daemon.log.