Ce document décrit l'authentification SAML avec Azure Identity Provider pour plusieurs groupes de tunnels sur Cisco ASA.
Cisco recommande de connaître les sujets suivants :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Microsoft Azure peut prendre en charge plusieurs applications pour le même ID d'entité. Chaque application (mappée à un groupe de tunnels différent) nécessite un certificat unique. Sur ASA, plusieurs groupes de tunnels peuvent être configurés pour utiliser différentes applications protégées par fournisseur d'identité de remplacement (IdP) en raison de la fonctionnalité de certificat IdP. Cette fonctionnalité permet aux administrateurs de remplacer le certificat du fournisseur d'identité principal dans l'objet de serveur SSO (Single Sign-On) par un certificat de fournisseur d'identité spécifique pour chaque groupe de tunnels. Cette fonctionnalité a été introduite sur ASA à partir de la version 9.17.1.
Lorsque l'utilisateur final ouvre une session en accédant à l'ASA, le comportement de connexion se déroule comme suit :
1. Lorsque l'utilisateur VPN accède à un groupe de tunnels activé par SAML ou en choisit un, l'utilisateur final est redirigé vers le fournisseur d'identité SAML pour authentification. L'utilisateur est invité à accéder directement à l'URL du groupe, auquel cas la redirection est silencieuse.
2. L'ASA génère une demande d'authentification SAML, que le navigateur redirige vers le fournisseur d'ID SAML.
3. Le fournisseur d'identité demande des informations d'identification à l'utilisateur final et l'utilisateur final se connecte. Les informations d'identification saisies doivent satisfaire à la configuration d'authentification IdP.
4. La réponse du fournisseur d'identité est renvoyée au navigateur et publiée sur l'URL de connexion ASA. L'ASA vérifie la réponse pour terminer la connexion.
Dans cet exemple, l'intégration de Microsoft Entra SSO avec Cisco Secure Firewall - Secure Client sur Azure est ajoutée pour deux groupes de tunnels configurés sur ASA :
Pour configurer l'intégration de Cisco Secure Firewall - Secure Client dans Microsoft Entra ID, vous devez ajouter Cisco Secure Firewall - Secure Client de la galerie à votre liste d'applications SaaS gérées.
Remarque : Ces étapes permettent d'ajouter Cisco Secure Firewall - Secure Client à la galerie pour le premier groupe de tunnels, SAML1.
Étape 1. Connectez-vous au portail Azure et sélectionnez Microsoft Entra ID.
ID d'entrée Microsoft
Étape 2. Comme le montre l’image, choisissez Applications d’entreprise.
Application d'entreprise
Étape 3. Choisissez Nouvelle application.
Nouvelle application
Étape 4. Dans la section Ajouter à partir de la galerie, tapez Cisco Secure Firewall - Secure Client dans la zone de recherche, choisissez Cisco Secure Firewall - Secure Client dans le panneau des résultats, puis Ajoutez l'application.
Pare-feu sécurisé Cisco - Client sécurisé
Étape 5. Sélectionnez l'élément de menu Single Sign-On.
Configurer l'authentification unique
Étape 6. Sur la page Sélectionner une méthode d'authentification unique, sélectionnezSAML.
SAML
Étape 7. Sur la page Configurer l'authentification unique avec SAML, cliquez sur l'icône Modifier/Ouvrir de Configuration SAML de base pour modifier les paramètres.
Exemple de configuration de baseÉtape 8. Dans la page Configurer l'authentification unique avec SAML, saisissez les valeurs des champs suivants :
https://<URL VPN>/saml/sp/metadata/<Nom_Groupe_Tunnel>
https://<URL VPN>/+CSCOE+/saml/sp/acs?tgname=<Nom_Groupe_Tunnel> [Nom_Groupe_Tunnel = SAML1]
Remarque : Tunnel_Group_Name est sensible à la casse et la valeur ne doit pas contenir de points '.' et les barres obliques '/'.
Étape 9. Sur la page Configurer l'authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez Certificat (Base64) et choisissez Télécharger pour télécharger le fichier de certificat et l'enregistrer sur votre ordinateur.
Téléchargement du certificat (Base64)
Remarque : ce certificat téléchargé est importé dans le point de confiance ASA AzureAD-AC-SAML1. Reportez-vous à la section Configuration ASA pour plus de détails.
Étape 10. Dans la section Configurer Cisco Secure Firewall - Client sécurisé, copiez la ou les URL appropriées en fonction de vos besoins. Ces URL sont utilisées pour configurer l'objet Serveur SSO sur ASA.
URL SSO
Remarque : Répétez les étapes de configuration précédentes pour ajouter l'application Cisco Secure Firewall - Secure Client de la galerie pour le deuxième groupe de tunnels. Dans ce cas, le deuxième nom du groupe de tunnels est SAML2.
Lors de l'ajout de l'application Cisco Secure Firewall - Secure Client pour le deuxième groupe de tunnels (SAML 2), le certificat Azure téléchargé à l'étape 8. est importé dans le point de confiance ASA AzureAD-AC-SAML2.
Dans cette section, Test1 et Test2 sont activés pour utiliser Azure SSO, lorsque vous accordez l'accès à l'application Cisco Secure Client.
Pour la première application IdP :
Étape 1. Dans la première page de présentation de l'application IdP, sélectionnez Utilisateurs et groupes, puis Ajouter un utilisateur.
Utilisateurs et groupes
Étape 2. Sélectionnez Utilisateurs ou groupes dans la boîte de dialogue Ajouter une affectation.
Ajouter le devoir 1
Étape 3. Dans la boîte de dialogue Ajouter une affectation, cliquez sur le bouton Affecter.
Attribution d'utilisateur Test1
Pour la deuxième application IdP :
Répétez les étapes précédentes pour la deuxième application Idp, comme indiqué dans ces images :
Ajouter le devoir 2
Attribuer un utilisateur Test2
Attribution d'utilisateur Test1 :
Tester 1 affectation d'utilisateur
Attribution d'utilisateur Test2 :
Test 2 - Affectation d'utilisateurs
Étape 1 : création de points de confiance et importation de certificats SAML
Configurez deux points de confiance et importez les certificats SAML respectifs pour chaque groupe de tunnels :
config t
crypto ca trustpoint AzureAD-AC-SAML1 revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML1 -----BEGIN CERTIFICATE----- … PEM Certificate Text you downloaded from AzureAD goes here … -----END CERTIFICATE----- quit
!
!
crypto ca trustpoint AzureAD-AC-SAML2 revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML2 -----BEGIN CERTIFICATE----- … PEM Certificate Text you downloaded from AzureAD goes here … -----END CERTIFICATE----- quit
Étape 2 : configuration de l'IdP SAML
Exécutez ces commandes pour provisionner les paramètres du fournisseur d'identité SAML.
webvpn saml idp https://xxx.windows.net/xxxxxxxxxxxxx/ - [Azure AD Identifier] url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 - [Login URL] url sign-out https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 – [Logout URL] trustpoint idp AzureAD-AC-SAML1 - [IdP Trustpoint] trustpoint sp ASA-EXTERNAL-CERT - [SP Trustpoint] no force re-authentication no signature base-url https://asa.example.com
Étape 3 : application de l’authentification SAML au premier groupe de tunnels VPN
Configurez le groupe de tunnels SAML1 avec le point de confiance AzureAD-AC-SAML1 IdP.
tunnel-group SAML1 webvpn-attributes
authentication saml
group-alias SAML1 enable
saml identity-provider https://xxx.windows.net/xxxxxxxxxxxxx/
saml idp-trustpoint AzureAD-AC-SAML1 <---- Overrides the primary IDP certificate in the Single Sign-On (SSO) Server object
Étape 4 : application de l’authentification SAML au deuxième groupe de tunnels VPN
Configurez le groupe de tunnels SAML2 avec le point de confiance AzureAD-AC-SAML2 IdP.
tunnel-group SAML2 webvpn-attributes
authentication saml
group-alias SAML2 enable
saml identity-provider https://xxx.windows.net/xxxxxxxxxxxxx/
saml idp-trustpoint AzureAD-AC-SAML2 <---- Overrides the primary IDP certificate in the Single Sign-On (SSO) Server object
Étape 5: Enregistrez la configuration.
write memory
Remarque : Si vous apportez des modifications à la configuration du fournisseur d'identité, vous devez supprimer la configuration du fournisseur d'identité SAML de votre groupe de tunnels et la réappliquer pour que les modifications prennent effet.
Testez AnyConnect avec l’authentification SAML.
Étape 1. Connectez-vous à votre URL VPN et entrez vos détails de connexion dans Azure AD.
Étape 2. (Facultatif) Approuvez la demande de connexion.
Étape 3. AnyConnect est connecté.
La plupart des dépannages pour SAML impliquent une mauvaise configuration qui peut être trouvée quand la configuration SAML est vérifiée, ou quand les débogages sont exécutés. Le debug webvpn saml 255 peut être utilisé pour dépanner la plupart des problèmes, cependant, dans les scénarios où ce débogage ne fournit pas d'informations utiles, des débogages supplémentaires peuvent être exécutés tels que :
debug webvpn saml 255 debug webvpn 255 debug webvpn session 255 debug webvpn request 255
| Révision | Date de publication | Commentaires |
|---|---|---|
2.0 |
08-Jul-2026
|
Mise à jour de l'orthographe, de la grammaire, de l'espacement, ajout de lignes pour la lisibilité et la séparation des sections et mise à jour des alertes CCW. |
1.0 |
28-Mar-2025
|
Première publication |