Configurer Umbrella avec ADFS version 3.0 à l'aide de SAML

Introduction

Ce document décrit comment configurer SAML entre Cisco Umbrella et Active Directory Federation Services (ADFS) version 3.0.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur Cisco Umbrella.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Aperçu

Cet article explique comment configurer SAML entre Cisco Umbrella et Active Directory Federation Services (ADFS) version 3.0. La configuration de SAML avec ADFS diffère des autres intégrations SAML d'Umbrella, car il ne s'agit pas d'un processus en un ou deux clics dans l'Assistant, mais nécessite des modifications dans ADFS pour fonctionner correctement.

Cet article a des modifications détaillées que vous devez faire afin d'obtenir SAML et ADFS travailler ensemble. Les principales étapes consistent à désactiver d'abord le cryptage entre votre environnement ADFS et Cisco Umbrella, puis à ajouter des règles de revendication personnalisées de transformation d'émission au paramètre de partie de relais Umbrella.

Effectuez uniquement ces étapes avec un système ADFS existant et opérationnel. Cisco Umbrella Support n'est pas en mesure de fournir une assistance ou une assistance pour la configuration d'ADFS dans un environnement particulier.

Seule la version 3.0 d'ADFS est actuellement prise en charge (Windows Server 2012 R2) par ces instructions. Il est possible que des versions antérieures (2.0 ou 2.1) ou ultérieures (4.0) d'ADFS puissent fonctionner avec l'intégration SAML Umbrella, mais cela n'a pas été testé ou prouvé. Si vous disposez d'une version différente d'ADFS et que vous souhaitez travailler avec nos équipes d'assistance et de produits pour l'intégrer, veuillez contacter l'assistance Cisco Umbrella.

Vous trouverez les conditions préalables à la configuration SAML initiale dans la documentation Umbrella : Intégrations des identités : Conditions préalables. Une fois ces étapes effectuées, vous pouvez continuer à utiliser les instructions spécifiques à ADFS de cet article pour terminer la configuration.

Les étapes de la documentation Umbrella mentionnent que vous devez télécharger vos métadonnées SAML (ADFS) vers Umbrella. Vous pouvez accéder à vos métadonnées en accédant à cette URL, puis en téléchargeant le fichier XML.

https://{your-ADFS-domain-name}/federationmetadata/2007-06/federationmetadata.xml

Désactiver le chiffrement

1. Ouvrez la gestion AD FS. Développez Relations d'approbation et sélectionnez Approbations de partie de confiance.

2. Cliquez avec le bouton droit sur la partie de confiance Umbrella (ou sur le nom que vous lui avez donné) et sélectionnez Propriétés.

3. Sélectionnez l'onglet Chiffrement.

4. Sélectionnez Supprimer pour supprimer le certificat pour le cryptage.

5. Cliquez sur OK pour fermer l'écran.

Ajout de nouvelles règles de demande de transformation d'émission

1. Ouvrez la gestion AD FS. Développez Relations d'approbation et sélectionnez Approbations de la partie relais.

2. Cliquez avec le bouton droit de la souris sur la partie de relais Umbrella (ou tout autre nom que vous lui avez donné) et sélectionnez Modifier les règles de réclamation.

3. Sous Règles de transformation d'émission, sélectionnez Ajouter une règle.

4. Sélectionnez Envoyer les revendications à l'aide d'une règle personnalisée.

Reportez-vous à cette capture d'écran pour obtenir la liste des règles que vous pouvez ajouter.

Une fois que vous avez ajouté chacune de ces règles, l'intégration peut commencer à fonctionner.

Transformer les règles

Mise en garde : Ces règles ont été testées et fonctionnent dans l'environnement de laboratoire ADFS d'Umbrella ainsi que dans quelques environnements de production clients. Modifiez-les en fonction de votre environnement.

userPrincipalName vers l'adresse e-mail

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";userPrincipalName;{0}", param = c.Value);

Envoyer par e-mail à NameID

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
= "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

Annexe : Connexion avec l'attribut « mail » 

Par défaut, ADFS authentifie les utilisateurs par leur UPN (User Principal Name). Si l'adresse e-mail de votre utilisateur (nom de compte Umbrella) ne correspond pas à son UPN, des étapes supplémentaires sont nécessaires. Reportez-vous à l'article suivant de la base de connaissances : Comment configurer AD FS dans le tableau de bord Cisco Umbrella pour autoriser les connexions avec une adresse e-mail ?