Installez le fichier de métadonnées sur l'ADFS

Options de téléchargement

PDF (2.4 MB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
ePub (2.6 MB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (1.2 MB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:5 août 2019

ID du document:214841

À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Introduction

Conditions préalables

Conditions requises

Composants utilisés

Informations générales

Configurer

Vérifier

Dépanner

Informations connexes

Introduction

Ce document décrit comment installer des métadonnées introduisent sur les services de fédération de Microsoft Active Directory (ADFS).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

ADFS
Intégration du Langage SAML (SAML) avec l'appliance de Gestion de la sécurité

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

SMA 11.x.x
SMA 12.x.x

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Avant que le fichier de métadonnées soit installé dans l'ADFS, assurez-vous que ces conditions requises sont adressées :

SAML activé dans le SMA
Vérifiez si le fournisseur d'identité utilisé par votre organisation est pris en charge par l'appliance de Gestion de sécurité du contenu de Cisco. Ce sont les fournisseurs pris en charge d'identité :
- La fédération de Microsoft Active Directory entretient (ADFS) 2.0
- Identité PingFederate 7.2 de ping
- Appliance 9.1 de sécurité Web de Cisco
Obtenez ces Certificats qui sont exigés pour sécuriser la transmission entre votre appliance et le fournisseur d'identité :
- Si vous voulez votre appliance signe des demandes d'authentification SAML ou si vous voulez que votre fournisseur d'identité chiffre des assertions SAML, obtenez un certificat auto-signé ou un certificat d'un Autorité de certification (CA) de confiance et de la clé privée associée.
- Si vous voulez que le fournisseur d'identité signe des assertions SAML, obtenez le certificat du fournisseur d'identité. Votre appliance emploie ce certificat pour vérifier les assertions signées SAML

Configurer

Étape 1. Naviguez vers votre SMA et administration système choisie > SAML > métadonnées de téléchargement, suivant les indications de l'image.

Étape 2. Le profil de fournisseur d'identité complète automatiquement quand le client télécharge son fichier de métadonnées ADFS. Microsoft a un URL de par défaut : https://<ADFS-host>/FederationMetadata/2007-06/FederationMetadata.xml.

Étape 3. Une fois que les deux profils sont installés, les métadonnées de profil de fournisseur de services doivent être éditées, selon la bogue CSCvh30183. Aspects de fichier de métadonnées suivant les indications de l'image.

Étape 4. Enlevez les informations mises en valeur, aux métadonnées de fin que le fichier doit être suivant les indications de l'image.

Étape 5. Naviguez vers votre ADFS et importez les métadonnées éditées classent dans l'ADFS usine > Gestion FS d'AD > ajoutent la confiance comptante d'interlocuteur, suivant les indications de l'image.

Étape 6. Après que vous importiez avec succès les métadonnées classent, configurent les règles de demande pour la confiance comptante de création récente d'interlocuteur, modèle choisi de règle de demande > envoient des attributs de LDAP, suivant les indications de l'image.

Étape 7. Nommez le nom de règle de demande, et sélectionnez la mémoire d'attribut > le Répertoire actif.

Étape 8. Attributs de LDAP de carte, suivant les indications de l'image.

Attribut > adresses électroniques de LDAP
Type > adresse électronique sortants de demande

Étape 9. Créez une nouvelle règle faite sur commande de demande avec ces informations, suivant les indications de l'image.

C'est la règle faite sur commande qui doit être ajoutée à la règle faite sur commande de demande :

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] =>
issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer
= c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =
"urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier
"] = "https://<smahostname>:83");

Modifiez l'URL mis en valeur avec l'adresse Internet SMA et mettez en communication (si vous êtes sur un environnement de CES, un port n'est pas exigé mais il doit indiquer euq1.<allocation>.iphmx.com)

Étape 10. Assurez-vous que la commande de règle de demande est : Règle de demande de LDAP d'abord et règle faite sur commande deuxième de demande, suivant les indications de l'image.