FMC SSO configureren met Azure als Identity Provider

Downloadopties

  • PDF     (2.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:12 augustus 2024
Document-id:216515

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u het Firepower Management Center (FMC) Single Sign-On (SSO) configureert met Azure als Identity Provider (idP).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basiskennis van Firepower Management Center
    • Basiskennis van Single Sign-On 

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Cisco Firepower Management Center (FMC) versie 6.7.0
    • Azure - IdP

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie


    SAML-terminologieën

    Security Assertion Markup Language (SAML) is meestal het onderliggende protocol dat SSO mogelijk maakt. Een bedrijf onderhoudt een enkele inlogpagina, daarachter is een identiteitsarchief en verschillende authenticatieregels. Het kan eenvoudig elke web-app configureren die SAML ondersteunt, waarmee u zich kunt aanmelden bij alle webapplicaties. Het heeft ook het beveiligingsvoordeel dat gebruikers niet worden gedwongen om wachtwoorden te behouden (en mogelijk opnieuw te gebruiken) voor elke web-app waartoe ze toegang moeten hebben, noch dat wachtwoorden worden blootgesteld aan die web-apps.

    Configuratie voor SAML moet op twee plaatsen gebeuren: bij de IdP en bij de SP. De IdP moet worden geconfigureerd zodat het weet waar en hoe gebruikers moeten worden verzonden wanneer ze zich willen aanmelden bij een specifieke SP. De SP moet worden geconfigureerd zodat het weet dat het SAML-beweringen kan vertrouwen die zijn ondertekend door de IdP. 

    Definitie van een paar termen die de kern vormen van SAML:

    • Identity Provider (IdP) - De software tool of dienst (vaak gevisualiseerd door een login pagina en/of dashboard) die de authenticatie uitvoert; controleert gebruikersnaam en wachtwoorden, verifieert de accountstatus, roept twee-factor en andere authenticatie. 

    • Service Provider (SP) - De webapplicatie waar de gebruiker toegang probeert te krijgen. 

    • SAML Assertion - Een bericht waarin de identiteit van een gebruiker en vaak andere kenmerken worden bevestigd, verzonden via HTTP via browseromleidingen

    IDp-configuratie

    Specificaties voor een SAML-bewering, wat deze bevat en hoe deze moet worden opgemaakt, worden verstrekt door de SP en ingesteld op de IdP. 

    • EntityID - Een wereldwijd unieke naam voor de SP. Formaten variëren, maar het komt steeds vaker voor dat deze waarde wordt opgemaakt als een URL.
      Voorbeeld: https://<FQDN-or-IPaddress>/saml/metadata
    • Assertion Consumer Service (ACS) Validator - Een beveiligingsmaatregel in de vorm van een reguliere expressie (regex) die ervoor zorgt dat de SAML-bewering naar de juiste ACS wordt verzonden. Dit komt alleen in het spel tijdens SP-geïnitieerde aanmeldingen waar de SAML-verzoek bevat een ACS-locatie, dus deze ACS-validator zou ervoor zorgen dat de SAML-verzoek-verstrekte ACS-locatie is legitiem.
      Voorbeeld: https://<FQDN-or-IPaddress>/saml/acs
    • Attributen - Het aantal en de opmaak van attributen kunnen sterk variëren. Er is meestal ten minste één attribuut, de nameID, dat is meestal de gebruikersnaam van de gebruiker die probeert in te loggen.
    • SAML Signature Algorithm - SHA-1 of SHA-256. Minder vaak SHA-384 of SHA-512. Dit algoritme wordt gebruikt in combinatie met het X.509-certificaat dat hier wordt genoemd.

    Screenshot 2020-11-11 at 11.37.19 AM

    SP-configuratie

    De achterkant van het bovenstaande gedeelte, dit gedeelte spreekt over informatie die door de IdP wordt verstrekt en op de SP wordt ingesteld. 

    • Uitgever-URL - Unieke ID van de IdP. Opgemaakt als een URL met informatie over de IdP, zodat de SP kan valideren dat de SAML-beweringen die het ontvangt, worden uitgegeven door de juiste IdP.
    • SAML SLO (Single Log-out) Endpoint - Een IdP-eindpunt dat uw IdP-sessie sluit wanneer de SP hierheen wordt doorgestuurd, meestal nadat op de afmelding is geklikt.
      Voorbeeld: https://access.wristbandtent.com/logout

    SAML op FMC 

    De SSO-functie in FMC wordt geïntroduceerd vanaf 6.7. De nieuwe functie vereenvoudigt FMC-autorisatie (RBAC), omdat de bestaande informatie wordt gekoppeld aan FMC-rollen. Het is van toepassing op alle FMC UI-gebruikers en FMC-rollen. Voorlopig ondersteunt het SAML 2.0-specificatie en deze ondersteunde IDP's

    • OKTA

    • OneLogin

    • PingID

    • Azure AD

    • Overige (elke IDP die voldoet aan SAML 2.0)

    Beperkingen en voorbehouden

    • SSO kan alleen worden geconfigureerd voor het Global Domain.

    • FMC's in HA Pair hebben een individuele configuratie nodig.

    • Alleen lokale/AD-beheerders kunnen Single Sign-on configureren.

    • SSO geïnitieerd vanuit Idp wordt niet ondersteund.

    Configureren

    Configuratie op Identity Provider 

    Stap 1. Log in bij Microsoft Azure. Navigeer naar Azure Active Directory > Enterprise Application.

    Screenshot 2020-11-11 at 1.00.55 PM

    • Stap 2. Nieuwe toepassing maken onder Niet-galerijtoepassing, zoals in deze afbeelding wordt weergegeven:

    Screenshot 2020-11-11 at 1.03.08 PM

    Stap 3. Bewerk de toepassing die is gemaakt en navigeer naar Eenmalige aanmelding instellen > SAML, zoals weergegeven in deze afbeelding.

    Screenshot 2020-11-11 at 1.04.40 PM

    Stap 4. Bewerk de SAML-basisconfiguratie en geef de FMC-gegevens op: 

    • FMC-URL: https://<FMC-FQDN-or-IP-adres>
    • Identificatiecode (Entiteit-ID): https://<FMC-FQDN-or-IPaddress>/saml/metadata
    • Beantwoord-URL: https://<FMC-FQDN-or-IPaddress>/saml/acs
    • Inloggen op URL: https://<FMC-QDN-or-IPaddress>/saml/acs

    • RelayState:/ui/login

    Screenshot 2020-11-11 at 1.07.01 PM

    Houd de rest als standaard - dit wordt verder besproken voor toegang op basis van rollen.

    Dit betekent het einde van de configuratie van de Identity Provider. Download de Federation Metadata XML die wordt gebruikt voor FMC-configuratie.

    Configuratie in Firepower Management Center

    Stap 1. Meld u aan bij FMC, navigeer naar Instellingen > Gebruikers > Eenmalige aanmelding en schakel SSO in. Selecteer Azure als provider. 

    Screenshot 2020-11-11 at 1.10.09 PM

    Stap 2. Upload hier het XML-bestand dat van Azure is gedownload. Het vult automatisch alle benodigde details in. 

    Screenshot 2020-11-11 at 1.11.20 PM

    Stap 3. Controleer de configuratie en klik op Opslaan, zoals in deze afbeelding wordt weergegeven.

    Screenshot 2020-11-11 at 1.12.42 PM

    Geavanceerde configuratie - RBAC met Azure

    Om verschillende roltypen te gebruiken om aan rollen van FMC te koppelen, moet u het manifest van Toepassing op Azure bewerken om waarden aan rollen toe te wijzen. De rollen hebben standaard de waarde Null.

    Stap 1. Navigeer naar de applicatie die is gemaakt en klik op Single sign-on.

    Screenshot 2020-08-14 at 6.47.29 PM

    Stap 2. Bewerk de gebruikerskenmerken en claims. Voeg een nieuwe claim toe met Naam: rollen en selecteer de waarde als user.assignedroles.

    Screenshot 2020-08-14 at 6.43.53 PM

    Stap 3. Navigeer naar <Application-Name> > Manifest. Bewerk het manifest. Het bestand heeft de JSON-indeling en er is een standaardgebruiker beschikbaar om te kopiëren. Hier worden bijvoorbeeld 2 rollen gemaakt: Gebruiker en Analist.

    Screenshot 2020-08-14 at 6.49.28 PM

    Stap 4. Navigeer naar <Naam van toepassing> > Gebruikers en groepen. Bewerk de gebruiker en wijs de nieuw gemaakte rollen toe, zoals in deze afbeelding wordt getoond.

    Screenshot 2020-08-14 at 6.51.48 PM

    Stap 4. Meld u aan bij FMC en bewerk de geavanceerde configuratie in SSO. Bijvoorbeeld, Groepslidkenmerk: wijs de weergavenaam die u hebt opgegeven in Toepassingsmanifest toe aan de rollen.

    Screenshot 2020-08-14 at 6.54.17 PM

    Zodra dat is gebeurd, kunt u inloggen op hun aangewezen rol.

    Verifiëren

    Stap 1. Navigeer naar de FMC URL vanuit uw browser: https://<FMC URL>. Klik op Single Sign-On, zoals weergegeven in deze afbeelding.

    Screenshot 2020-11-11 at 1.18.16 PM

    U wordt dan doorgestuurd naar de Microsoft-aanmeldingspagina en als u zich aanmeldt, wordt de standaardpagina van de FMC geretourneerd.

    Stap 2. Navigeer in FMC naar Systeem > Gebruikers om de SSO-gebruiker aan de database toe te voegen.

    Screenshot 2020-11-11 at 1.44.19 PM

    Problemen oplossen

    Verifieer de SAML-verificatie en dit is de workflow die u bereikt voor een succesvolle autorisatie (deze afbeelding is van een laboratoriumomgeving):

    Browser SAML-logboeken

    Screenshot 2020-11-11 at 1.15.12 PM

    FMC SAML-logboeken

    Controleer de SAML-logboeken op FMC op /var/log/auth-daemon.log

    Screenshot 2020-11-11 at 1.16.15 PM

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    12-Aug-2024
    Eerste vrijgave
    1.0
    10-Dec-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Shubham Bharti
      Cisco Professional Services

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco