セキュアファイアウォールとMicrosoft Entra IDを使用したSAMLのグループポリシー割り当ての設定

ダウンロード オプション

  • PDF     (934.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2025 年 8 月 4 日
Document ID:223460

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Cisco Secure Firewall上のCisco Secure ClientのSAML認証にMicrosoft Entra IDを使用してグループポリシーを割り当てる方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることを推奨しています。

    • CiscoセキュアクライアントAnyConnect VPN
    • Cisco Firepower Threat Defense(FTD)またはCisco Secure Firewall ASAリモートアクセスVPNおよびシングルサインオン(SSO)サーバオブジェクトの設定
    • Microsoft Entra ID Identity Provider (IdP)の構成

    使用するコンポーネント

    このガイドの情報は、次のハードウェアとソフトウェアのバージョンに基づいています。

    • FTDバージョン7.6
    • FMCバージョン7.6
    • MS Entra ID SAML IdP 

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    SAML(Security Assertion Markup Language)は、セキュリティドメイン間で認証および許可データを交換するためのXMLベースのフレームワークです。ユーザ、サービスプロバイダー(SP)、およびアイデンティティプロバイダー(IdP)の間に信頼の輪を作り、ユーザが複数のサービスに対して一度にサインインできるようにします。SAMLは、ASAおよびFTD VPNヘッドエンドへのCisco Secure Client接続のリモートアクセスVPN認証に使用できます。ASAまたはFTDは、トラストサークルのSP部分です。

    このドキュメントでは、IdPとしてMicrosoft Entra ID/Azureを使用します。ただし、グループポリシーはSAMLアサーションで送信可能な標準属性に基づいているため、他のIdPを使用して割り当てることもできます。

    note-icon

    :各ユーザはMS Entra ID上の1つのユーザグループにのみ属する必要があります。ASAまたはFTDに送信される複数のSAML属性が原因で、グループポリシーの割り当てに問題が発生する可能性があります(Cisco Bug ID CSCwm33613を参照)

    設定

    FMC SAMLの設定

    FMCで、Objects > Object Management > AAA Server > Single Sign-on Serverの順に移動します。 エンティティID、SSO URL、ログアウトURL、およびアイデンティティプロバイダー証明書は、IdPから取得されます。「Microsoft Entra ID」の項の手順6を参照してください。ベースURLとサービスプロバイダー証明書は、設定が追加されるFTDに固有です。

    FMC SSO Object ConfigurationFMC SSOオブジェクトの設定

    FMC RAVPNトンネルグループの設定

    FMCで、Devices > VPN > Remote Access > Connection Profileの順に移動し、設定するFTDのVPNポリシーを選択するか、作成します。選択したら、次のような接続プロファイルを作成します。

    FMC Connection Profile Address AssignmentFMC接続プロファイルのアドレス割り当て

    FMC Connection Profile AAA configurationFMC接続プロファイルのAAA設定

    FMC RAVPNグループポリシーの設定

    1. エントリIDの各ユーザグループに必要なオプションでグループポリシーを作成し、設定中のFTDのRAVPNポリシーに追加する必要があります。それには、Devices > VPN > Remote Access > Advanced の順に選択し、左側でGroup Policiesを選択してから、右上の+ をクリックしてグループポリシーを追加します。 

    FMC add group policyFMCグループポリシーの追加

    2. ポップアップの[+]をクリックすると、新しいグループポリシーを作成するためのダイアログが表示されます。必要なオプションを入力して保存します。 

    note-icon

    :必要なグループポリシーがすでに作成されている場合は、このステップを省略してステップ3に進むことができます

    Create new group policy新しいグループポリシーの作成

    Group Policy optionsグループポリシーオプション

    3. 左側のリストで新しく作成したグループポリシーを選択し、Addボタンをクリックしてから、Okをクリックしてリストを保存します。

    add group policyグループポリシーの追加

    FTDメタデータ

    設定がFTDに展開されたら、FTD CLIに移動してコマンド「show saml metadata <tunnel group name>」を実行し、FTD エンティティIDACS URLを収集します。

    note-icon

    :メタデータ内の証明書は、簡略化のために省略されています。

    FTD# show saml metadata SAMLtest
    SP Metadata
    -----------
    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <EntityDescriptor entityID="https://vpn.example.net/saml/sp/metadata/SAMLtest" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
    <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <KeyDescriptor use="signing">
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:X509Data>
    <ds:X509Certificate>
    MIIFWzCCBEOgAwIBAgITRwAAAAgZ9Nmfv5mpJQAAAAAACDANBgkqhkiG9w0BAQsF
    ADBJMRMwEQYKCZImiZPyLGQBGRYDY29tMRYwFAYKCZImiZPyLGQBGRYGcnRwdnBu
    MRowGAYDVQQDExFydHB2cG4tV0lOQVVUSC1DQTAeFw0yNTAzMjUxNzU5NDZaFw0y
    NzAzMjUxNzU5NDZaMDAxDzANBgNVBAoTBlJUUFZQTjEdMBsGA1UEAxMUcnRwdnBu
    LWZ0ZC5jaXNjby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC5
    5B0tH9RIjvG0MxhpDT3/BpDEFfTcVE2w2fxu5m8gZFTeeezyF5B93rWx+N26V8JE
    sB5I1KLTGRj8b9TK6L357cdbgr692Wl952TLFB3XC43gpe0fnN3+Uas/HJ3IudsF
    N+QPC9FO4LE88attuGuVMquV+10DRPA06a6QNwkehB0Un7XzTNepJ02JQtxdNR2t

    </ds:X509Certificate>
    </ds:X509Data>
    </ds:KeyInfo>
    </KeyDescriptor>
    <AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://vpn.example.net/+CSCOE+/saml/sp/acs?tgname=SAMLtest" />
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://vpn.example.net/+CSCOE+/saml/sp/logout"/><SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://vpn.example.net/+CSCOE+/saml/sp/logout"/></SPSSODescriptor>
    </EntityDescriptor>

    MicrosoftエントリID

    1. Microsoft Azureポータルで、左側のメニューからMicrosoft Entra IDを選択します。

    Microsoft Entra IDMicrosoftエントリID

    2. 「企業アプリケーション」を選択します。

    Enterprise Applications企業アプリケーション

    3. 「新規アプリケーション」を選択します。

    note-icon

    :FTD RAVPN設定用に設定されたエンタープライズアプリケーションがすでに存在する場合は、次のステップを省略してステップ7に進んでください。

    MS Entra ID Enterprise ApplicationMS Entra IDエンタープライズアプリケーション

    4. Featured Applicationsの下で、Cisco Secure Firewall - Secure Client (formerly AnyConnect) authenticationを選択します。アプリケーションに名前を付け、Createを選択します。

    MS Entra ID Cisco Secure Firewall Secure Client (formerly AnyConnect) authentication applicationMS Entra ID Cisco Secure Firewall Secure Client(旧称AnyConnect)認証アプリケーション

    5. アプリケーションが起動したら、Users and groupsを選択し、必要なユーザ名またはグループ名をアプリケーションに割り当てます。

    Users and Groupsユーザとグループ

    6. Single sign-on -> SAMLを選択し、このガイドの「FMC SAML設定」セクションのログインURL、Microsoft Entra Identifier、およびログアウトURLを取得します。  

    Single Sign-onシングル サインオン

    IdP URLsIdP URL

    7. FTDメタデータから取得した識別子(エンティティID)と応答(ACS)URLを使用して基本SAML設定を設定し、保存します。

    Basic SAML Configuration基本的なSAML設定

    8. Attribute & ClaimsEditを選択し、Add new claimをクリックします

    Attributes & Claims属性と要求

    9. 新しい要求の名前はcisco_group_policyである必要があります。

    Manage Claim請求の管理

    10. [要求条件]のセクションを展開します。User typeとScoped Groupsを選択してからSourceのAttributeを選択し、ValueフィールドのFTD設定から正しいグループポリシー名を追加して、Saveをクリックします。

    note-icon

    :この例で使用されているFTDのカスタムグループポリシー名は、このガイドの「FMC RAVPNグループポリシーの設定」セクションで作成された、SAMLtest-GPという名前のグループポリシーです。 この値は、IdP上の各ユーザグループに対応するFTDのグループポリシー名に置き換える必要があります。

    MS Entra ID claim conditionMS Entra ID要求の条件

    確認

    FTD

    目的のグループポリシーを確認するために、「show vpn-sessiondb anyconnect」の出力を検証します。 

    FTD# show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username : RTPVPNtest
    Index : 7110
    Assigned IP : 192.168.55.3 Public IP : 10.26.162.189
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA256
    Bytes Tx : 105817 Bytes Rx : 63694
    Group Policy : SAMLtest-GP Tunnel Group : SAMLtest
    Login Time : 16:54:17 UTC Fri May 9 2025
    Duration : 0h:11m:19s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : ac127ca101bc6000681e3339
    Security Grp : none Tunnel Zone : 0

    IdPが必要なクレームを送信していることを確認するには、VPNに接続している間に「debug webvpn saml 255」の出力を収集します。デバッグでアサーション出力を分析し、属性セクションをIdPで設定されているものと比較します。

    <Attribute Name="cisco_group_policy">
    <AttributeValue>SAMLtest-GP</AttributeValue>
    </Attribute>

    トラブルシュート

    firepower# show run webvpn
    firepower# show run tunnel-group
    firepower# show crypto ca certificate
    firepower# debug webvpn saml 255
    firepower# debug webvpn 255
    firepower# debug aaa authorization

    関連情報

    シスコテクニカルサポートおよびダウンロード

    ASA設定ガイド

    FMC/FDM構成ガイド

    更新履歴

    改定 発行日 コメント
    1.0
    04-Aug-2025
    初版
    TAC Authored

    シスコ エンジニア提供

    • エベレット・デューク
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています