IDプロバイダーとしてAzureを使用したFMC SSOの構成
はじめに
このドキュメントでは、Identity Provider(idP)としてAzureを使用してFirepower Management Center(FMC)シングルサインオン(SSO)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Firepower Management Center(FMC)に関する基本的な知識
- シングルサインオンの基本的な知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- Cisco Firepower Management Center(FMC)バージョン6.7.0
- Azure - IdP
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
SAMLの用語
Security Assertion Markup Language(SAML)は、SSOを可能にする基盤プロトコルとして最も頻繁に使用されます。企業は1つのログインページを保持し、その背後にはアイデンティティストアとさまざまな認証ルールがあります。SAMLをサポートする任意のWebアプリケーションを簡単に設定でき、すべてのWebアプリケーションにログインできます。また、ユーザがアクセスする必要があるすべてのWebアプリケーションのパスワードを維持(および再利用の可能性)するように強制したり、それらのWebアプリケーションにパスワードを公開したりしないというセキュリティ上の利点もあります。
SAMLの設定は、IdPとSPの2つの場所で行う必要があります。IdPは、特定のSPにログインするユーザーの送信先と送信方法を認識できるように構成する必要があります。SPは、IdPによって署名されたSAMLアサーションを信頼できることを認識できるように設定する必要があります。
SAMLの中核となる用語の定義:
-
アイデンティティプロバイダー(IdP):認証を実行するソフトウェアツールまたはサービス(通常はログインページやダッシュボードで視覚化される)。ユーザ名とパスワードの確認、アカウントのステータスの確認、2要素の呼び出し、およびその他の認証を行います。
-
サービスプロバイダー(SP):ユーザがアクセスを試行するWebアプリケーション。
-
SAMLアサーション:ユーザのIDおよびその他の属性をアサーションするメッセージ。ブラウザリダイレクトを介してHTTPで送信されます。
IdPの設定
SAMLアサーションの仕様、内容、フォーマット方法は、SPによって提供され、IdPで設定されます。
- EntityID:SPのグローバルに一意な名前。フォーマットは異なりますが、この値がURLとしてフォーマットされていることがますます一般的になっています。
例:https://<FQDN-or-IPaddress>/saml/metadata
- Assertion Consumer Service(ACS)Validator:SAMLアサーションが正しいACSに送信されることを保証する、正規表現(regex)形式のセキュリティ対策。これは、SAML要求にACSの場所が含まれているSPが開始したログイン中にのみ実行されるため、このACS検証では、SAML要求で指定されたACSの場所が正規のものであることが確認されます。
例:https://<FQDN-or-IPaddress>/saml/acs
- 属性:属性の数と形式は大きく異なる場合があります。 通常、少なくとも1つの属性nameIDがあります。これは、通常、ログインしようとしているユーザのユーザ名です。
- SAML署名アルゴリズム:SHA-1またはSHA-256。SHA-384またはSHA-512はあまり使用されません。このアルゴリズムは、ここで説明するX.509証明書と組み合わせて使用されます。
SPの構成
前述のセクションの逆に、このセクションでは、IdPによって提供され、SPで設定される情報について説明します。
- 発行者URL:IdPを表す一意の識別子。SPが受信するSAMLアサーションが正しいIdPから発行されていることを検証できるように、IdPに関する情報を含むURLとしてフォーマットされます。
- SAML SSOエンドポイント/サービスプロバイダーログインURL:ここでSPからSAML要求にリダイレクトされたときに認証を開始するIdPエンドポイント。
例: https://login.microsoftonline.com/023480840129412-824812/saml2
- SAML SLO(シングルログアウト)エンドポイント:SPによってここにリダイレクトされたときに(通常はログアウトがクリックされた後)、IdPセッションを閉じるIdPエンドポイントです。
例: https://access.wristbandtent.com/logout
FMCでのSAML
FMCのSSO機能は6.7から導入されています。この新機能により、既存の情報がFMCロールにマッピングされるため、FMC許可(RBAC)が簡素化されます。すべてのFMC UIユーザとFMCロールに適用されます。現時点では、SAML 2.0仕様と、サポートされるIDPをサポートしています
-
オクタ
-
OneLogin
-
pingID
-
Azure AD
-
その他(SAML 2.0に準拠する任意のIDP)
制限および警告
-
SSOは、グローバルドメインに対してのみ設定できます。
-
HAペアのFMCでは、個別の設定が必要です。
-
シングルサインオンを設定できるのは、ローカル/AD管理者のみです。
- Idpから開始されたSSOはサポートされていません。
設定
アイデンティティプロバイダーの設定
ステップ 1:Microsoft Azureにログインします。Azure Active Directory > Enterprise Applicationの順に移動します。
- ステップ 2:次の図に示すように、Non-Gallery Applicationの下にNew Applicationを作成します。
ステップ 3:作成したアプリケーションを編集し、次の図に示すように、シングルサインオンのセットアップ> SAMLに移動します。
ステップ 4:基本的なSAML設定を編集し、FMCの詳細を指定します。
- FMC URL: https://<FMC-FQDN-or-IPaddress>
- 識別子(エンティティID): https://<FMC-FQDN-or-IPaddress>/saml/metadata
- 返信URL: https://<FMC-FQDN-or-IPaddress>/saml/acs
- サインオンURL: https://<FMC-QDN-or-IPaddress>/saml/acs
- リレー状態:/ui/login
その他はデフォルトのままにします。ロールベースアクセスの場合はさらに詳しく説明します。
これで、アイデンティティプロバイダーの設定は終了です。FMCの設定に使用するフェデレーションメタデータXMLをダウンロードします。
Firepower Management Center(FMC)での設定
ステップ 1:FMCにログインし、Settings > Users > Single Sign-Onの順に移動して、SSOを有効にします。プロバイダーとしてAzureを選択します。
ステップ 2:AzureからダウンロードしたXMLファイルをここにアップロードします。必要なすべての詳細情報が自動的に入力されます。
ステップ 3:設定を確認し、次の図に示すようにSaveをクリックします。
高度な構成 – Azureを使用したRBAC
さまざまなロールタイプを使用してFMCのロールにマップするには、Azure上のアプリケーションのマニフェストを編集してロールに値を割り当てる必要があります。デフォルトでは、ロールの値はNullです。
ステップ 1:作成されたApplicationに移動し、Single sign-onをクリックします。
ステップ 2:ユーザー属性と要求を編集します。名前: rolesの新しい要求を追加し、値としてuser.assignedrolesを選択します。
ステップ 3:<アプリケーション名> > Manifestに移動します。 マニフェストを編集します。ファイルはJSON形式で、コピーできる既定のユーザーが存在します。たとえば、ここでは2つのロールUserとAnalystが作成されています。
ステップ 4:<Application-Name> > Users and Groupsに移動します。次の図に示すように、ユーザを編集し、新しく作成されたロールを割り当てます。
ステップ 4:FMCにログインし、SSOでAdvanced Configurationを編集します。グループメンバー属性:の場合、アプリケーションマニフェストで指定した表示名をロールに割り当てます。
この操作を行うと、指定されたロールにログインできます。
確認
ステップ 1:ブラウザから、https://<FMC URL>のFMC URLに移動します。次の図に示すように、シングルサインオンをクリックします。
Microsoftログインページにリダイレクトされ、ログインに成功すると、FMCのデフォルトページが返されます。
ステップ 2:FMCで、System > Usersの順に移動し、データベースに追加されたSSOユーザを表示します。
トラブルシュート
SAML認証を確認し、認証を成功させるために実行するワークフローを次に示します(この図はラボ環境を示しています)。
ブラウザのSAMLログ
FMC SAMLログ
/var/log/auth-daemon.logでFMCのSAMLログを確認します。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
12-Aug-2024
|
初版リリース |
1.0 |
10-Dec-2020
|
初版 |
フィードバック