El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar Firepower Management Center (FMC) Single Sign-On (SSO) con Azure como proveedor de identidad (idP).
El lenguaje de marcado de aserción de seguridad (SAML) es el protocolo subyacente que hace posible el SSO. Una empresa mantiene una única página de inicio de sesión, detrás de la cual hay un almacén de identidades y varias reglas de autenticación. Puede configurar fácilmente cualquier aplicación web que soporte SAML, lo que le permite iniciar sesión en todas las aplicaciones web. También tiene la ventaja de no obligar a los usuarios a mantener (y potencialmente reutilizar) las contraseñas de cada aplicación web a la que necesiten acceder, ni exponer las contraseñas a esas aplicaciones web.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en estas versiones de software:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Terminologías SAML
La configuración para SAML debe realizarse en dos lugares: en el IdP y en el SP. El IdP debe configurarse para que sepa dónde y cómo enviar a los usuarios cuando deseen iniciar sesión en un SP específico. El SP necesita configurarse para saber que puede confiar en las afirmaciones SAML firmadas por el IdP.
Definición de algunos términos que son fundamentales para SAML:
Proveedor de identidad (IdP): herramienta o servicio de software (a menudo visualizado por una página de inicio de sesión o panel) que realiza la autenticación; verifica el nombre de usuario y las contraseñas, verifica el estado de la cuenta, invoca dos factores, etc.
Proveedor de servicios (SP): aplicación web en la que el usuario intenta obtener acceso.
Afirmación SAML: mensaje que afirma la identidad de un usuario y, a menudo, otros atributos, que se envía a través de HTTP a través de las redirecciones del explorador.
El SP proporciona las especificaciones para una afirmación SAML, lo que debe contener y cómo debe formatearse, y las establece en el IdP.
A la inversa de la sección anterior, esta sección habla de la información proporcionada por el IdP y establecida en el SP.
https://access.wristbandtent.com/logout
La función SSO de FMC se introduce a partir de la versión 6.7. La nueva función simplifica la autorización de FMC (RBAC), ya que asigna la información existente a las funciones de FMC. Se aplica a todos los usuarios de la interfaz de usuario de FMC y a las funciones de FMC. Por ahora, admite la especificación SAML 2.0 y estos IDP soportados
OKTA
OneLogin
PingID
Azure AD
Otros (Cualquier IDP que cumpla con SAML 2.0)
SSO sólo se puede configurar para el dominio global.
Los FMC en el par HA necesitan una configuración individual.
Sólo los administradores locales/AD pueden configurar el inicio de sesión único.
Paso 1. Inicie sesión en Microsoft Azure. Vaya a Azure Active Directory > Enterprise Application.
Paso 3. Edite la Aplicación que se creó y navegue hasta Configurar inicio de sesión único > SAML, como se muestra en esta imagen.
Paso 4. Edite la configuración básica de SAML y proporcione los detalles de FMC :
Mantenga el resto como valor predeterminado. Esto se analiza más a fondo para el acceso basado en roles.
Esto marca el final de la configuración del proveedor de identidad. Descargue el archivo XML de metadatos de federación que se utilizará para la configuración de FMC.
Paso 1. Inicie sesión en FMC, navegue hasta Settings > Users > Single Sign-On y Enable SSO. Seleccione Azure como Provider.
Paso 2. Cargue el archivo XML descargado de Azure aquí. Rellena automáticamente todos los detalles necesarios.
Paso 3. Verifique la configuración y haga clic en Guardar, como se muestra en esta imagen.
Para utilizar varios tipos de funciones para asignar a las funciones de FMC: debe editar el manifiesto de aplicación en Azure para asignar valores a las funciones. De forma predeterminada, las funciones tienen el valor Null.
Paso 1. Navegue hasta la Aplicación que se crea y haga clic en Inicio de sesión único.
Paso 2. Edite los atributos de usuario y las reclamaciones. Agregar una nueva reclamación con el nombre: roles y seleccione el valor como user.assignedroles.
Paso 3. Vaya a <Application-Name> > Manifest. Editar el manifiesto. El archivo está en formato JSON y hay un usuario predeterminado disponible para copiar. Por ejemplo, aquí se crean 2 roles: Usuario y analista.
Paso 4. Vaya a <Application-Name> > Users and Groups. Edite el usuario y asigne las funciones recién creadas, como se muestra en esta imagen.
Paso 4. Inicie sesión en FMC y edite la configuración avanzada en SSO. Para: Atributo de miembro de grupo: aasigne el nombre de visualización que ha proporcionado en el manifiesto de aplicación a las funciones.
Una vez hecho esto, debe poder iniciar sesión en su función designada.
Paso 1. Acceda a la URL de FMC desde su navegador: https://<FMC URL>. Haga clic en Inicio de sesión único, como se muestra en esta imagen.
Se le redirige a la página de inicio de sesión de Microsoft y el inicio de sesión correcto devolverá la página predeterminada de FMC.
Paso 2. En FMC, navegue hasta System > Users para ver el usuario SSO agregado a la base de datos.
Verifique la autenticación SAML y este es el flujo de trabajo que consigue para una autorización exitosa (Esta imagen es de un entorno de laboratorio) :
Verifique los registros SAML en FMC en /var/log/auth-daemon.log