보안 방화벽 및 Microsoft Entra ID를 사용하여 SAML에 대한 그룹 정책 할당 구성

다운로드 옵션

  • PDF     (888.9 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (703.7 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (857.2 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2025년 8월 4일
문서 ID:223460

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 Cisco Secure Firewall에서 Cisco Secure Client의 SAML 인증에 Microsoft Entra ID를 사용하여 그룹 정책을 할당하는 방법에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    Cisco에서는 다음 주제에 대해 숙지할 것을 권장합니다.

    • Cisco Secure Client AnyConnect VPN
    • Cisco FTD(Firepower Threat Defense) 또는 Cisco Secure Firewall ASA 원격 액세스 VPN 및 SSO(Single Sign-on) 서버 개체 컨피그레이션
    • Microsoft Entra ID IdP(Identity Provider) 컨피그레이션

    사용되는 구성 요소

    이 가이드의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.

    • FTD 버전 7.6
    • FMC 버전 7.6
    • MS Entra ID SAML IdP 

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    배경 정보

    SAML(Security Assertion Markup Language)은 보안 도메인 간에 인증 및 권한 부여 데이터를 교환하기 위한 XML 기반 프레임워크입니다. 사용자, 서비스 공급자(SP) 및 IDp(Identity Provider) 간에 신뢰 범위를 생성하여 여러 서비스에 대해 한 번에 로그인할 수 있습니다. SAML은 ASA 및 FTD VPN 헤드엔드에 대한 Cisco Secure Client 연결을 위한 원격 액세스 VPN 인증에 사용할 수 있습니다. 여기서 ASA 또는 FTD는 신뢰 서클의 SP 부분입니다.

    이 문서에서는 Microsoft Entra ID/Azure가 IdP로 사용됩니다. 그러나 SAML 어설션에서 전송할 수 있는 표준 특성을 기반으로 하므로 다른 IdP를 사용하여 그룹 정책을 할당할 수도 있습니다.

    note-icon

    참고: ASA 또는 FTD로 전송되는 여러 SAML 특성은 Cisco 버그 ID CSCwm에 설명된 그룹 정책 할당에 문제를 일으킬 수 있으므로 각 사용자는 MS Entra ID에서 하나의 사용자 그룹에만 속해야 합니다33613

    구성

    FMC SAML 컨피그레이션

    FMC에서 Objects(개체) > Object Management(개체 관리) > AAA Server(AAA 서버) > Single Sign-on Server(단일 로그인 서버)로 이동합니다. IdP에서 엔티티 ID, SSO URL, 로그아웃 URL 및 ID 공급자 인증서를 가져옵니다. Microsoft Entra ID 섹션의 6단계를 참조하십시오. 기본 URL 및 서비스 공급자 인증서는 컨피그레이션이 추가되는 FTD에 한정됩니다.

    FMC SSO Object ConfigurationFMC SSO 개체 컨피그레이션

    FMC RAVPN 터널 그룹 컨피그레이션

    FMC에서 Devices(디바이스) > VPN > Remote Access(원격 액세스) > Connection Profile(연결 프로파일)로 이동하여 구성하는 FTD에 대한 VPN 정책을 선택하거나 생성합니다. 이 옵션을 선택하면 다음과 유사한 연결 프로파일을 생성합니다.

    FMC Connection Profile Address AssignmentFMC 연결 프로파일 주소 할당

    FMC Connection Profile AAA configurationFMC 연결 프로파일 AAA 컨피그레이션

    FMC RAVPN 그룹 정책 컨피그레이션

    1. Entra ID의 각 사용자 그룹에 대해 필요한 옵션을 사용하여 그룹 정책을 생성하고 구성 중인 FTD에 대한 RAVPN 정책에 추가해야 합니다. 이렇게 하려면 Devices(디바이스) > VPN > Remote Access(원격 액세스) > Advanced(고급)로 이동하고 왼쪽에서 Group Policies(그룹 정책)를 선택한 다음 오른쪽 위의 +를 클릭하여 그룹 정책을 추가합니다. 

    FMC add group policyFMC 그룹 정책 추가

    2. 팝업에서 +를 클릭하여 대화 상자를 열고 새 그룹 정책을 생성합니다. 필요한 옵션을 입력하고 저장합니다. 

    note-icon

    참고: 필요한 그룹 정책을 이미 생성한 경우 이 단계를 건너뛰고 3단계로 계속할 수 있습니다

    Create new group policy새 그룹 정책 만들기

    Group Policy options그룹 정책 옵션

    3. 왼쪽 목록에서 새로 생성된 그룹 정책을 선택하고 Add(추가) 버튼을 클릭한 다음 Ok(확인)를 클릭하여 목록을 저장합니다.

    add group policy그룹 정책 추가

    FTD 메타데이터

    컨피그레이션이 FTD에 구축되면 FTD CLI로 이동하여 "show saml metadata <tunnel group name>" 명령을 실행하고 FTD 엔티티 ID 및 ACS URL 수집합니다.

    note-icon

    참고: 메타데이터의 인증서가 간결성을 위해 잘렸습니다.

    FTD# show saml metadata SAMLtest
    SP Metadata
    -----------
    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <EntityDescriptor entityID="https://vpn.example.net/saml/sp/metadata/SAMLtest" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
    <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <KeyDescriptor use="signing">
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:X509Data>
    <ds:X509Certificate>
    MIIFWzCCBEOgAwIBAgITRwAAAAgZ9Nmfv5mpJQAAAAAACDANBgkqhkiG9w0BAQsF
    ADBJMRMwEQYKCZImiZPyLGQBGRYDY29tMRYwFAYKCZImiZPyLGQBGRYGcnRwdnBu
    MRowGAYDVQQDExFydHB2cG4tV0lOQVVUSC1DQTAeFw0yNTAzMjUxNzU5NDZaFw0y
    NzAzMjUxNzU5NDZaMDAxDzANBgNVBAoTBlJUUFZQTjEdMBsGA1UEAxMUcnRwdnBu
    LWZ0ZC5jaXNjby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC5
    5B0tH9RIjvG0MxhpDT3/BpDEFfTcVE2w2fxu5m8gZFTeeezyF5B93rWx+N26V8JE
    sB5I1KLTGRj8b9TK6L357cdbgr692Wl952TLFB3XC43gpe0fnN3+Uas/HJ3IudsF
    N+QPC9FO4LE88attuGuVMquV+10DRPA06a6QNwkehB0Un7XzTNepJ02JQtxdNR2t

    </ds:X509Certificate>
    </ds:X509Data>
    </ds:KeyInfo>
    </KeyDescriptor>
    <AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://vpn.example.net/+CSCOE+/saml/sp/acs?tgname=SAMLtest" />
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://vpn.example.net/+CSCOE+/saml/sp/logout"/><SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://vpn.example.net/+CSCOE+/saml/sp/logout"/></SPSSODescriptor>
    </EntityDescriptor>

    Microsoft Entra ID

    1. Microsoft Azure 포털의 왼쪽 메뉴에서 Microsoft Entra ID를 선택합니다.

    Microsoft Entra IDMicrosoft Entra ID

    2. Enterprise Applications를 선택합니다.

    Enterprise Applications엔터프라이즈 애플리케이션

    3. 신규 애플리케이션을 선택합니다.

    note-icon

    참고: FTD RAVPN 컨피그레이션에 대해 구성된 엔터프라이즈 애플리케이션이 이미 있는 경우, 다음 단계를 건너뛰고 7단계에서 계속합니다.

    MS Entra ID Enterprise ApplicationMS Entra ID 엔터프라이즈 애플리케이션

    4. Featured Applications(주요 애플리케이션) 아래에서 Cisco Secure Firewall - Secure Client(이전의 AnyConnect) 인증을 선택합니다. 응용 프로그램에 이름을 지정하고 생성을 선택합니다.

    MS Entra ID Cisco Secure Firewall Secure Client (formerly AnyConnect) authentication applicationMS Entra ID Cisco Secure Firewall Secure Client(이전의 AnyConnect) 인증 애플리케이션

    5. 애플리케이션에서 사용자 그룹 선택하고 필요한 사용자 또는 그룹 이름을 애플리케이션에 지정합니다.

    Users and Groups사용자 및 그룹

    6. Single sign-on -> SAML을 선택하고 이 설명서의 FMC SAML 구성 섹션에 대한 로그인 URL, Microsoft Entra 식별자 및 로그아웃 URL을 검색합니다.  

    Single Sign-on단일 로그인

    IdP URLsIdP URL

    7. FTD 메타데이터에서 검색된 식별자(엔티티 ID) 및 회신(ACS) URL을 사용하여 기본 SAML 컨피그레이션을 구성하고 저장합니다.

    Basic SAML Configuration기본 SAML 컨피그레이션

    8. 속성 및 클레임에 대한 편집을 선택하고 새 클레임 추가를 클릭합니다

    Attributes & Claims특성 및 클레임

    9. 새 청구의 이름은 cisco_group_policy여야 합니다.

    Manage Claim클레임 관리

    10. 청구 조건에 대한 섹션을 확장합니다. User type 및 Scoped Groups를 선택한 다음 Source의 Attribute를 선택하고 Value 필드의 FTD 컨피그레이션에서 올바른 그룹 정책 이름을 추가한 다음 Save(저장)를 클릭합니다.

    note-icon

    참고: 이 예에서 사용되는 FTD의 사용자 지정 그룹 정책 이름은 이 가이드의 FMC RAVPN 그룹 정책 구성 섹션에서 생성된 SAMLtest-GP라는 그룹 정책입니다. 이 값은 IdP의 각 사용자 그룹에 해당하는 FTD의 그룹 정책 이름으로 대체해야 합니다.

    MS Entra ID claim conditionMS Entra ID 클레임 조건

    다음을 확인합니다.

    FTD

    원하는 그룹 정책을 확인하려면 "show vpn-sessiondb anyconnect" 출력을 검증합니다

    FTD# show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username : RTPVPNtest
    Index : 7110
    Assigned IP : 192.168.55.3 Public IP : 10.26.162.189
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA256
    Bytes Tx : 105817 Bytes Rx : 63694
    Group Policy : SAMLtest-GP Tunnel Group : SAMLtest
    Login Time : 16:54:17 UTC Fri May 9 2025
    Duration : 0h:11m:19s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : ac127ca101bc6000681e3339
    Security Grp : none Tunnel Zone : 0

    IdP에서 원하는 클레임을 보내고 있는지 확인하려면 VPN에 연결하는 동안 "debug webvpn saml 255"의 출력을 수집합니다. 디버그의 어설션 출력을 분석하고 특성 섹션을 IdP에 구성된 것과 비교합니다.

    <Attribute Name="cisco_group_policy">
    <AttributeValue>SAMLtest-GP</AttributeValue>
    </Attribute>

    문제 해결

    firepower# show run webvpn
    firepower# show run tunnel-group
    firepower# show crypto ca certificate
    firepower# debug webvpn saml 255
    firepower# debug webvpn 255
    firepower# debug aaa authorization

    관련 정보

    Cisco 기술 지원 및 다운로드

    ASA 컨피그레이션 가이드

    FMC/FDM 컨피그레이션 가이드

    개정 이력

    개정 게시 날짜 의견
    1.0
    04-Aug-2025
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 에버렛 듀크
      기술 컨설팅 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품