Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les éléments de base afin d'activer l'authentification unique (SSO) sur vManage et comment vérifier/vérifier sur vManage, lorsque cette fonctionnalité est activée. À partir de 18.3.0, vManage prend en charge SSO. SSO permet à un utilisateur de se connecter à vManage en s'authentifiant auprès d'un fournisseur d'identité externe (IP). Cette fonctionnalité prend en charge la spécification SAML 2.0 pour SSO.
Contribué par Shankar Vemulapalli, ingénieur TAC Cisco.
Le langage SAML (Security Assertion Markup Language) est une norme ouverte permettant l'échange de données d'authentification et d'autorisation entre les parties, en particulier entre un fournisseur d'identité et un prestataire de services. Comme son nom l'indique, SAML est un langage de balisage XML pour les assertions de sécurité (instructions utilisées par les fournisseurs de services pour prendre des décisions de contrôle d'accès).
Un fournisseur d'identité (IdP) est “ un fournisseur de confiance qui vous permet d'utiliser l'authentification unique (SSO) afin d'accéder à d'autres sites Web. ” SSO réduit la fatigue des mots de passe et améliore la convivialité. Elle réduit la surface d'attaque potentielle et améliore la sécurité.
Fournisseur de services - Il s'agit d'une entité système qui reçoit et accepte des assertions d'authentification en conjonction avec un profil SSO du SAML.
Chaîne CN = <NomClient>, DefaultTenant
OU de chaîne = <Nom de l'organisation>
Chaîne O = <Nom De L'Organisation Sp>
Chaîne L = « San Jose »;
Chaîne ST = « CA »;
Chaîne C = « États-Unis »;
Validité de la chaîne = 5 ans ;
Algorithme de signature de certificat : SHA256AvecRSA
Algorithme de génération de paire de clés : RSA
Pour activer l'authentification unique (SSO) pour le NMS vManage afin de permettre l'authentification des utilisateurs à l'aide d'un fournisseur d'identité externe :
Exemple de méta vManage
L'authentification à deux facteurs (également appelée2FA) est un type, ou sous-ensemble, d'authentification multifacteur (MFA). Il s'agit d'une méthode de confirmation des identités revendiquées par les utilisateurs en combinant deux facteurs différents : 1) quelque chose qu'ils savent, 2) quelque chose qu'ils ont, ou 3) quelque chose qu'ils sont.
Exemple : Google GMail (Mot de passe avec mot de passe unique)
2FA est un élément qui sera fourni sur le serveur SSO. Il est similaire à la façon dont nous nous connectons au site Web interne de Cisco.
Il vous redirige vers Cisco SSO, où vous serez invité à entrer PingID / DUO 2FA.
Nous avons 3 rouleaux ; basic, opérateur, netadmin.
Configuration de l'accès et de l'authentification des utilisateurs
Les clients peuvent utiliser d'autres IdPs et le voir fonctionner. Cela passerait par le 'meilleur effort'
Un exemple de ceci serait MSFT Azure AD n'est PAS pris en charge IDP (pour le moment). Mais cela pourrait fonctionner, compte tenu de certaines des mises en garde.
Autres : Oracle Access Manager, F5 Networks
Note: Veuillez consulter la dernière documentation Cisco pour connaître les derniers IdPs pris en charge par vManage
Problème : frontal du vManage avec un IDP SAML. Lorsque l'utilisateur est authentifié avec succès, la seule chose à laquelle il peut accéder est le tableau de bord.
Existe-t-il un moyen de donner à l'utilisateur plus d'accès (via le groupe d'utilisateurs RBAC) lorsque l'utilisateur est authentifié via SAML ?
Ce problème est dû à une configuration incorrecte du PCI. La clé ici est que les informations envoyées par IDP lors de l'authentification doivent contenir « Nom d'utilisateur » et « Groupes » comme attributs dans le xml. Si d'autres chaînes sont utilisées à la place de « Groupes », alors le groupe d'utilisateurs est par défaut défini sur « Basic ». Les utilisateurs de base n'ont accès qu'au tableau de bord de base.
Vous trouverez ci-dessous un exemple de ce qui se passe dans le fichier /var/log/nms/vmanage-server.log :
Exemple de non-travail :
Nous voyons que « UserId/role » a été envoyé par IdP et que l'utilisateur est mappé au groupe de base.
01-Mar-2019 15:23:50,797 UTC INFO [vManage] [SAMLAuthenticationProvider] (default task-227) |default| AttributeMap: {role=[netadmin], UserId=[Tester@Example.MFA.com]}
01-Mar-2019 15:23:50,797 UTC INFO [vManage] [SAMLAuthenticationProvider] (default task-227) |default| AttributeMap: {role=[netadmin], UserId=[Tester@Example.MFA.com]}
01-Mar-2019 15:23:50,797 UTC INFO [vManage] [SAMLAuthenticationProvider] (default task-227) |default| Roles: [Basic]
Exemple de travail :
Dans cette section, vous voyez « Nom d'utilisateur/Groupes » et l'utilisateur est mappé au groupe netadmin.
05-Mar-2019 21:35:55,766 UTC INFO [vManage] [SAMLAuthenticationProvider] (default task-90) |default| AttributeMap: {UserName=[Tester@Example.MFA.com], Groups=[netadmin]}
05-Mar-2019 21:35:55,766 UTC INFO [vManage] [SAMLAuthenticationProvider] (default task-90) |default| AttributeMap: {UserName=[Tester@Example.MFA.com], Groups=[netadmin]}
05-Mar-2019 21:35:55,766 UTC INFO [vManage] [SAMLAuthenticationProvider] (default task-90) |default| Roles: [netadmin]
La journalisation de débogage de fonctionnalité SSO peut être activée comme suit :
1. Accédez à https://<vManage_ip_addr:port>/logsettings.html
2. Sélectionnez la journalisation SSO et activez-la comme indiqué dans l'image.
3. Une fois Activé, cliquez sur le bouton Soumettre.
Outil permettant d'afficher les messages SAML et WS-Federation envoyés via le navigateur lors de la connexion unique et de la déconnexion unique.
Module complémentaire FireFox SAML-Tracer
SSO est réservé à la connexion au navigateur. Vous pouvez diriger manuellement vManage vers la page de connexion traditionnelle et contourner SSO afin d'utiliser uniquement le nom d'utilisateur et le mot de passe : https://<vmanage>:8443/login.html.
Actuellement, nous prenons en charge SHA1 en tant qu'algorithme de chiffrement. vManage signera le fichier de métadonnées SAML avec l'algorithme SHA1 que les IdPs doivent accepter. La prise en charge de SHA256 est prévue dans les versions futures, que nous n'avons pas actuellement.
Configurer l'authentification unique : https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/security/ios-xe-16/security-book-xe/configure-sso.html
Journaux de travail de connexion/déconnexion OKTA joints au dossier comme référence.