Konfigurieren der SAML-Authentifizierung für mehrere RAVPN-Verbindungsprofile auf FTD

Download-Optionen

  • PDF     (1.8 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:27. März 2025
Dokument-ID:222912

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die SAML-Authentifizierung mit dem Azure-Identitätsanbieter für mehrere Verbindungsprofile auf dem von FMC verwalteten Cisco FTD beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, sich mit folgenden Themen vertraut zu machen:

    • Sichere Client-Konfiguration auf Next-Generation Firewall (NGFW), verwaltet vom FirePOWER Management Center (FMC)
    • SAML- und metatada.xml-Werte

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Firepower Threat Defense (FTD) Version 7.4.0
    • FMC Version 7.4.0
    • Azure Microsoft Entra ID mit SAML 2.0
    • Cisco Secure Client 5.1.7.80

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Mit dieser Konfiguration kann FTD sichere Client-Benutzer mithilfe von zwei verschiedenen SAML-Anwendungen auf Azure IDP authentifizieren, wobei ein einziges SAML-Objekt auf FMC konfiguriert ist.

    SAML Configuration

    In einer Microsoft Azure-Umgebung können mehrere Anwendungen dieselbe Objektkennung verwenden. Jede Anwendung, die in der Regel einer anderen Tunnelgruppe zugeordnet ist, benötigt ein eindeutiges Zertifikat, das die Konfiguration mehrerer Zertifikate innerhalb der IdP-Konfiguration der FTD-Seite unter einem einzelnen SAML-IdP-Objekt erfordert. Cisco FTD unterstützt jedoch nicht die Konfiguration mehrerer Zertifikate unter einem SAML IdP-Objekt, wie in Cisco Bug-ID CSCvi29084 beschrieben.

    Um diese Einschränkung zu überwinden, hat Cisco die IdP-Zertifikatüberschreibungsfunktion eingeführt, die in FTD-Version 7.1.0 und ASA-Version 9.17.1 verfügbar ist. Diese Erweiterung bietet eine dauerhafte Lösung für das Problem und ergänzt die im Fehlerbericht beschriebenen Problemumgehungen.

    Konfigurationen

    In diesem Abschnitt wird der Prozess für die Konfiguration der SAML-Authentifizierung mit Azure als Identitätsanbieter (IdP) für mehrere Verbindungsprofile in Cisco Firepower Threat Defense (FTD) beschrieben, die vom FirePOWER Management Center (FMC) verwaltet werden. Die IdP-Zertifikatüberschreibungsfunktion wird verwendet, um dies effektiv einzurichten.

    Konfigurationsübersicht:

    Auf Cisco FTD sind zwei Verbindungsprofile zu konfigurieren:

    • FTD-SAML-1
    • FTD-SAML-2

    In diesem Konfigurationsbeispiel wird die VPN-Gateway-URL (Cisco Secure Client FQDN) auf nigarapa2.cisco.com festgelegt.

    Konfigurieren

    Konfiguration auf Azure IdP

    Um die SAML-Unternehmensanwendungen für den Cisco Secure Client effektiv zu konfigurieren, stellen Sie sicher, dass alle Parameter für jede Tunnelgruppe richtig eingestellt sind. Gehen Sie dazu wie folgt vor:

    Zugriff auf SAML Enterprise-Anwendungen:

    Navigieren Sie zur Administrationskonsole Ihres SAML-Anbieters, in der Ihre Unternehmensanwendungen aufgeführt sind.

    Wählen Sie die entsprechende SAML-Anwendung aus:

    Identifizieren Sie die SAML-Anwendungen, die den Cisco Secure Client-Tunnelgruppen entsprechen, die Sie konfigurieren möchten, und wählen Sie diese aus.

    Identifikator (Element-ID) konfigurieren:

    Legen Sie den Bezeichner (Element-ID) für jede Anwendung fest. Dies muss die Basis-URL sein, d. h. Ihr vollqualifizierter Domänenname (FQDN) für den Cisco Secure Client.

    Legen Sie die Antwort-URL (Assertion Consumer Service-URL) fest:

    Konfigurieren Sie die Antwort-URL (Assertion Consumer Service-URL) mit der richtigen Basis-URL. Stellen Sie sicher, dass sie mit dem FQDN des Cisco Secure Client übereinstimmt.

    Hängen Sie den Namen des Verbindungsprofils oder der Tunnelgruppe an die Basis-URL an, um die Spezifität sicherzustellen.

    Konfiguration überprüfen:

    Überprüfen Sie, ob alle URLs und Parameter korrekt eingegeben wurden und den jeweiligen Tunnelgruppen entsprechen.

    Speichern Sie die Änderungen, und führen Sie nach Möglichkeit eine Testauthentifizierung durch, um sicherzustellen, dass die Konfiguration wie erwartet funktioniert.

    Weitere Informationen finden Sie in der Cisco Dokumentation unter "Add Cisco Secure Client from the Microsoft App Gallery" (Cisco Secure Client aus der Microsoft-Anwendungsgalerie hinzufügen): Konfigurieren von ASA Secure Client VPN mit Microsoft Azure MFA über SAML

    FTD-SAML-1

    SAML Configuration

    SAML Configuration

    SAML Configuration

    FTD-SAML-2

    SAML Configuration

    SAML Configuration

    SAML Configuration

    Stellen Sie nun sicher, dass Sie über die erforderlichen Informationen und Dateien für die Konfiguration der SAML-Authentifizierung mit Microsoft Entra als Identitätsanbieter verfügen:

    Suchen Sie den Microsoft Entra Identifier:

    Greifen Sie auf die Einstellungen für beide SAML-Unternehmensanwendungen in Ihrem Microsoft Entra-Portal zu.

    Beachten Sie den Microsoft Entra Identifier, der für beide Anwendungen konsistent bleibt und für Ihre SAML-Konfiguration von entscheidender Bedeutung ist.

    Base64 IdP-Zertifikate herunterladen:

    Navigieren Sie zu jeder konfigurierten SAML-Unternehmensanwendung.

    Laden Sie die entsprechenden Base64-codierten IdP-Zertifikate herunter. Diese Zertifikate sind für die Vertrauensstellung zwischen Ihrem Identitätsanbieter und Ihrem Cisco VPN-Setup unerlässlich.

    note-icon

    Anmerkung: Alle diese für die FTD-Verbindungsprofile erforderlichen SAML-Konfigurationen können auch aus den Metadaten.xml-Dateien bezogen werden, die von Ihrem IdP für die jeweiligen Anwendungen bereitgestellt werden.

    note-icon

    Anmerkung: Um ein benutzerdefiniertes IdP-Zertifikat zu verwenden, müssen Sie das benutzerdefinierte generierte IdP-Zertifikat sowohl in den IdP als auch in das FMC hochladen. Stellen Sie für Azure IdP sicher, dass das Zertifikat im PKCS#12-Format vorliegt. Laden Sie auf dem FMC nur das Identitätszertifikat von der IdP hoch, nicht die PKCS#12-Datei. Ausführliche Anweisungen finden Sie im Abschnitt "Laden Sie die PKCS#12-Datei auf Azure und FDM hoch" in der Cisco-Dokumentation: Konfiguration mehrerer RAVPN-Profile mit SAML-Authentifizierung auf FDM

    Konfiguration auf FTD über FMC

    IDp-Zertifikate registrieren:

    Navigieren Sie in FMC zum Abschnitt für das Zertifikatsmanagement, und registrieren Sie die heruntergeladenen Base64-codierten IdP-Zertifikate für beide SAML-Anwendungen. Diese Zertifikate sind für die Einrichtung von Vertrauen und die Aktivierung der SAML-Authentifizierung von entscheidender Bedeutung.

    Ausführliche Informationen hierzu finden Sie in den ersten beiden Schritten unter "Configuration on the FTD via FMC" in der Cisco Dokumentation unter: Konfigurieren Sie Secure Client mit SAML-Authentifizierung auf FTD Managed via FMC.

    certs (1)

    note-icon

    Anmerkung: Das Bild wurde so bearbeitet, dass beide Zertifikate gleichzeitig angezeigt werden. Es ist nicht möglich, beide Zertifikate gleichzeitig auf dem FMC zu öffnen.

    Konfigurieren der SAML-Servereinstellungen auf Cisco FTD über FMC

    Um die SAML-Servereinstellungen auf Ihrem Cisco Firepower Threat Defense (FTD) mit dem Firepower Management Center (FMC) zu konfigurieren, führen Sie die folgenden Schritte aus:

    1. Navigieren Sie zu Konfiguration des Single Sign-on-Servers:
      • Navigieren Sie zu Objekte > Objektverwaltung > AAA-Server > Single Sign-on-Server.
      • Klicken Sie auf Single Sign-on Server hinzufügen, um die Konfiguration eines neuen Servers zu beginnen.
    2. Konfigurieren der SAML-Servereinstellungen:
      • Verwenden Sie die Parameter, die aus Ihren SAML-Unternehmensanwendungen oder aus der Metadaten.xml-Datei, die von Ihrem Identity Provider (IdP) heruntergeladen wurde, gesammelt wurden, und geben Sie die erforderlichen SAML-Werte im Formular New Single Sign-on Server (Neuer Single Sign-on Server) ein.
      • Zu den wichtigsten zu konfigurierenden Parametern gehören:
        • SAML-Anbieter-Element-ID: entityID aus metadaten.xml
        • SSO-URL: SingleSignOnService aus metadaten.xml.
        • Abmelde-URL: SingleLogoutService aus metadaten.xml.
        • BASE-URL: FQDN Ihres FTD SSL ID Zertifikats.
        • Zertifikat des Identitätsanbieters: IDp-Signaturzertifikat.
          • Fügen Sie im Abschnitt Identity Provider Certificate (Identitätsanbieter-Zertifikat) eines der registrierten IdP-Zertifikate an.
          • Für diesen Anwendungsfall verwenden wir das IdP-Zertifikat der Anwendung FTD-SAML-1.
        • Dienstanbieterzertifikat: FTD-Signaturzertifikat.

    SAML Configuration

    note-icon

    Anmerkung: In der aktuellen Konfiguration kann nur das Identity Provider-Zertifikat aus dem SAML-Objekt in den Verbindungsprofileinstellungen überschrieben werden. Leider können Funktionen wie "Request IdP re-authentication on login" und "Enable IdP only access on internal network" nicht für jedes Verbindungsprofil einzeln aktiviert oder deaktiviert werden.

    Konfigurieren von Verbindungsprofilen auf Cisco FTD über FMC

    Um die Einrichtung der SAML-Authentifizierung abzuschließen, müssen Sie die Verbindungsprofile mit den entsprechenden Parametern konfigurieren und die AAA-Authentifizierung mithilfe des zuvor konfigurierten SAML-Servers auf SAML festlegen.

    Weitere Informationen finden Sie im fünften Schritt unter "Configuration on the FTD via FMC" in der Cisco Dokumentation: Konfigurieren Sie Secure Client mit SAML-Authentifizierung auf FTD Managed via FMC.

    SAML Configuration

    Auszug aus der AAA-Konfiguration für das erste Verbindungsprofil

    Nachfolgend finden Sie eine Übersicht der AAA-Konfigurationseinstellungen für das erste Verbindungsprofil:

    SAML Configuration

    Konfigurieren der IDp-Zertifikatübersteuerung für das zweite Verbindungsprofil in Cisco FTD

    Um sicherzustellen, dass das richtige Identity Provider (IdP)-Zertifikat für das zweite Verbindungsprofil verwendet wird, aktivieren Sie das Überschreiben des IdP-Zertifikats, indem Sie die folgenden Schritte ausführen:

    Suchen Sie in den Einstellungen für das Verbindungsprofil nach der Option "Identitätsanbieter-Zertifikat überschreiben", und aktivieren Sie sie, damit ein anderes als das für den SAML-Server konfigurierte IdP-Zertifikat verwendet werden kann.

    Wählen Sie aus der Liste der registrierten IdP-Zertifikate das Zertifikat aus, das speziell für die Anwendung FTD-SAML-2 registriert wurde. Durch diese Auswahl wird sichergestellt, dass bei einer Authentifizierungsanforderung für dieses Verbindungsprofil das richtige IdP-Zertifikat verwendet wird.

    SAML Configuration

    Bereitstellung der Konfiguration

    Navigieren SieDeploy > Deploymentzu, und wählen Sie das FTD aus, das die VPN-Änderungen für die SAML-Authentifizierung übernehmen soll.

    Überprüfung

    Konfiguration in der FTD-Befehlszeile

    firepower# sh run webvpn
    webvpn
        enable outside
        http-headers
            hsts-server
                enable
                max-age 31536000
                include-sub-domains
                no preload
            hsts-client
                enable
            x-content-type-options
            x-xss-protection
            content-security-policy
        Secure Client image disk0:/csm/Secure Client-win-4.10.08025-webdeploy.pkg 1 regex "Windows"
        Secure Client enable
        saml idp https://sts.windows.net/477a586b-61c2-4c8e-9a41-1634016aa513/
            url sign-in https://login.microsoftonline.com/477a586b-61c2-4c8e-9a41-1634016aa513/saml2
            url sign-out https://login.microsoftonline.com/477a586b-61c2-4c8e-9a41-1634016aa513/saml2
            base-url https://nigarapa2.cisco.com
            trustpoint idp FTD-SAML-1-idp-cert
            trustpoint sp nigarapa2
            no signature
            force re-authentication
        tunnel-group-list enable
        cache
            disable
        error-recovery disable
    firepower#
    firepower# sh run tunnel-group FTD-SAML-1
    tunnel-group FTD-SAML-1 type remote-access
    tunnel-group FTD-SAML-1 general-attributes
        address-pool secure-client-pool
        default-group-policy FTD-SAML-1-gp
    tunnel-group FTD-SAML-1 webvpn-attributes
        authentication saml
        group-alias FTD-SAML-1 enable
        saml identity-provider https://sts.windows.net/477a586b-61c2-4c8e-9a41-1634016aa513/
    firepower#
    firepower# sh run tunnel-group FTD-SAML-2
    tunnel-group FTD-SAML-2 type remote-access
    tunnel-group FTD-SAML-2 general-attributes
        address-pool secure-client-pool
        default-group-policy FTD-SAML-2-gp
    tunnel-group FTD-SAML-2 webvpn-attributes
        authentication saml
        group-alias FTD-SAML-2 enable
        saml identity-provider https://sts.windows.net/477a586b-61c2-4c8e-9a41-1634016aa513/
        saml idp-trustpoint FTD-SAML-2-idp-cert
    firepower#

    Anmelde-Protokolle von Azure Central Identifier

    Greifen Sie unter der Enterprise-Anwendung auf den Abschnitt Anmelde-Logs zu. Suchen Sie nach Authentifizierungsanforderungen, die sich auf die spezifischen Verbindungsprofile beziehen, z. B. FTD-SAML-1 und FTD-SAML-2. Überprüfen Sie, ob die Benutzer sich erfolgreich über die SAML-Anwendungen authentifizieren, die den einzelnen Verbindungsprofilen zugeordnet sind.

    Sign-in Logs on Azure IdPAnmeldeprotokolle auf Azure IdP

    Fehlerbehebung

    1. Sie können die Fehlerbehebung mit DART über den Secure Client-Benutzer-PC durchführen.
    2. Um ein SAML-Authentifizierungsproblem zu beheben, verwenden Sie den folgenden Debugger:
      firepower# debug webvpn saml 255
    3. Überprüfen Sie die Konfiguration des sicheren Clients wie oben beschrieben. kann dieser Befehl verwendet werden, um das Zertifikat zu überprüfen.
      firepower# show crypto ca certificate

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    27-Mar-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Nithin Chowdary
      Technical Consulting Engineer
    • Ashitha Kotaru
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.