Configurar FMC SSO con Azure como proveedor de identidad

Opciones de descarga

  • PDF     (2.2 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:10 de diciembre de 2020
ID del documento:216515

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar Firepower Management Center (FMC) Single Sign-On (SSO) con Azure como proveedor de identidad (idP).

    El lenguaje de marcado de aserción de seguridad (SAML) es el protocolo subyacente que hace posible el SSO. Una empresa mantiene una única página de inicio de sesión, detrás de la cual hay un almacén de identidades y varias reglas de autenticación. Puede configurar fácilmente cualquier aplicación web que soporte SAML, lo que le permite iniciar sesión en todas las aplicaciones web. También tiene la ventaja de no obligar a los usuarios a mantener (y potencialmente reutilizar) las contraseñas de cada aplicación web a la que necesiten acceder, ni exponer las contraseñas a esas aplicaciones web.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Comprensión básica de Firepower Management Center
    • Comprensión básica del inicio de sesión único 

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • Cisco Firepower Management Center (FMC) versión 6.7.0
    • Azure - IdP

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes


    Terminologías SAML

    La configuración para SAML debe realizarse en dos lugares: en el IdP y en el SP. El IdP debe configurarse para que sepa dónde y cómo enviar a los usuarios cuando deseen iniciar sesión en un SP específico.  El SP necesita configurarse para saber que puede confiar en las afirmaciones SAML firmadas por el IdP. 

    Definición de algunos términos que son fundamentales para SAML:

    • Proveedor de identidad (IdP): herramienta o servicio de software (a menudo visualizado por una página de inicio de sesión o panel) que realiza la autenticación; verifica el nombre de usuario y las contraseñas, verifica el estado de la cuenta, invoca dos factores, etc. 

    • Proveedor de servicios (SP): aplicación web en la que el usuario intenta obtener acceso. 

    • Afirmación SAML: mensaje que afirma la identidad de un usuario y, a menudo, otros atributos, que se envía a través de HTTP a través de las redirecciones del explorador.

    Configuración de IdP

    El SP proporciona las especificaciones para una afirmación SAML, lo que debe contener y cómo debe formatearse, y las establece en el IdP. 

    • EntityID: nombre global único para el SP. Los formatos varían, pero cada vez es más común ver este valor formateado como URL.
      Ejemplo: <https://<FQDN-or-IPaddress>/saml/metadata>
    • Validador del servicio de consumidor de afirmación (ACS): medida de seguridad en forma de expresión regular (regex) que garantiza que la afirmación SAML se envía al ACS correcto. Esto sólo se aplica durante los inicios de sesión iniciados por SP donde la solicitud SAML contiene una ubicación ACS, por lo que este validador ACS garantizaría que la ubicación ACS proporcionada por la solicitud SAML es legítima.
      Ejemplo: https://<FQDN-or-IPaddress>/saml/acs
    • Atributos: el número y el formato de los atributos pueden variar mucho. Normalmente hay al menos un atributo, el nameID, que suele ser el nombre de usuario del usuario que intenta iniciar sesión.
    • Algoritmo de firma SAML - SHA-1 o SHA-256. Menos comúnmente SHA-384 o SHA-512. Este algoritmo se utiliza junto con el certificado X.509 se menciona aquí.

    Configuración SP

    A la inversa de la sección anterior, esta sección habla de la información proporcionada por el IdP y establecida en el SP. 

    • Extremo SAML SLO (Single Log-out) - Un punto final de IdP que cierra su sesión de IdP cuando el SP lo redirige aquí, normalmente después de cerrar sesión se hace clic en él.
      Ejemplo: https://access.wristbandtent.com/logout

    SAML en FMC 

    La función SSO de FMC se introduce a partir de la versión 6.7. La nueva función simplifica la autorización de FMC (RBAC), ya que asigna la información existente a las funciones de FMC. Se aplica a todos los usuarios de la interfaz de usuario de FMC y a las funciones de FMC. Por ahora, admite la especificación SAML 2.0 y estos IDP soportados

    • OKTA

    • OneLogin

    • PingID

    • Azure AD

    • Otros (Cualquier IDP que cumpla con SAML 2.0)

    Limitaciones y advertencias

    • SSO sólo se puede configurar para el dominio global.

    • Los FMC en el par HA necesitan una configuración individual.

    • Sólo los administradores locales/AD pueden configurar el inicio de sesión único.

    • SSO iniciado desde Idp no se soporta.

    Configurar

    Configuración en el proveedor de identidad 

    Paso 1. Inicie sesión en Microsoft Azure. Vaya a Azure Active Directory > Enterprise Application.

    • Paso 2. Cree Nueva aplicación en Aplicación no-Galería, como se muestra en esta imagen.

    Paso 3. Edite la Aplicación que se creó y navegue hasta Configurar inicio de sesión único > SAML, como se muestra en esta imagen.

    Paso 4. Edite la configuración básica de SAML y proporcione los detalles de FMC : 

    • URL de FMC: https://<FMC-FQDN-or-IPaddress>

    • Identificador (ID de entidad): https://<FMC-FQDN-or-IPaddress>/saml/metadata
    • URL de respuesta: https://<FMC-FQDN-or-IPaddress>/saml/acs

    • URL de inicio de sesión: /https://<FMC-QDN-or-IPaddress>/saml/acs

    • RelayState:/ui/login

    Mantenga el resto como valor predeterminado. Esto se analiza más a fondo para el acceso basado en roles.

    Esto marca el final de la configuración del proveedor de identidad. Descargue el archivo XML de metadatos de federación que se utilizará para la configuración de FMC.

    Configuración en Firepower Management Center

    Paso 1. Inicie sesión en FMC, navegue hasta Settings > Users > Single Sign-On y Enable SSO. Seleccione Azure como Provider. 

    Paso 2. Cargue el archivo XML descargado de Azure aquí. Rellena automáticamente todos los detalles necesarios. 

    Paso 3. Verifique la configuración y haga clic en Guardar, como se muestra en esta imagen.

    Configuración avanzada - RBAC con Azure

    Para utilizar varios tipos de funciones para asignar a las funciones de FMC: debe editar el manifiesto de aplicación en Azure para asignar valores a las funciones. De forma predeterminada, las funciones tienen el valor Null.

    Paso 1. Navegue hasta la Aplicación que se crea y haga clic en Inicio de sesión único.

    Paso 2. Edite los atributos de usuario y las reclamaciones. Agregar una nueva reclamación con el nombre: roles y seleccione el valor como user.assignedroles.

    Paso 3. Vaya a <Application-Name> > ManifestEditar el manifiesto. El archivo está en formato JSON y hay un usuario predeterminado disponible para copiar. Por ejemplo, aquí se crean 2 roles: Usuario y analista.


    Paso 4. Vaya a <Application-Name> > Users and Groups. Edite el usuario y asigne las funciones recién creadas, como se muestra en esta imagen.

    Paso 4. Inicie sesión en FMC y edite la configuración avanzada en SSO. Para: Atributo de miembro de grupo: aasigne el nombre de visualización que ha proporcionado en el manifiesto de aplicación a las funciones.


    Una vez hecho esto, debe poder iniciar sesión en su función designada.

    Verificación

    Paso 1. Acceda a la URL de FMC desde su navegador: https://<FMC URL>. Haga clic en Inicio de sesión único, como se muestra en esta imagen.

    Se le redirige a la página de inicio de sesión de Microsoft y el inicio de sesión correcto devolverá la página predeterminada de FMC.

    Paso 2. En FMC, navegue hasta System > Users para ver el usuario SSO agregado a la base de datos.

    Troubleshoot

    Verifique la autenticación SAML y este es el flujo de trabajo que consigue para una autorización exitosa (Esta imagen es de un entorno de laboratorio) :

    Registros SAML del explorador

    Registros SAML de FMC

    Verifique los registros SAML en FMC en /var/log/auth-daemon.log

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Shubham Bharti
      Cisco Professional Services

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos