Cisco Secure Access configureren voor RA VPNaaS met Entra ID

Downloadopties

  • PDF     (1.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (898.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:24 april 2025
Document-id:222972

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt stap voor stap beschreven hoe u RA VPN configureert op Cisco Secure Access om te verifiëren met Entra ID.

    Voorwaarden

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Kennis met behulp van Azure/Entra ID.
    • Kennis van Cisco Secure Access.

    Vereisten

    Aan deze voorwaarden moet worden voldaan voordat verder kan worden gegaan:

    • Toegang tot uw Cisco Secure Access Dashboard als Full Admin.
    • Toegang tot Azure als beheerder.
    • Gebruikersinrichting al voltooid voor Cisco Secure Access. 

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Secure Access Dashboard.
    • Microsoft Azure Portal.
    • Cisco Secure Client AnyConnect VPN versie 5.1.8.105

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Azure Configuration

    1. Meld u aan bij het Cisco Secure Access-dashboard en kopieer de VPN Global FQDN. We gebruiken deze FQDN in de Azure Enterprise Application-configuratie. 

        Verbinding maken > Connectiviteit voor eindgebruikers > Virtual Private Network > FQDN > Algemeen

    VPN Global FQDNVPN Global FQDN

    2. Meld u aan bij Azure en maak een bedrijfstoepassing voor de RA VPN-verificatie. U kunt de vooraf gedefinieerde toepassing "Cisco Secure Firewall - Secure Client (voorheen AnyConnect)-verificatie" gebruiken.

        Home > Bedrijfstoepassingen > Nieuwe toepassing > Cisco Secure Firewall - Secure Client (voorheen AnyConnect)-verificatie > Maken

    Create App in AzureApp maken in Azure

    3. Wijzig de naam van de toepassing.
        Eigenschappen > Naam

    Rename the ApplicationDe naam van de toepassing wijzigen

    4. Wijs in de Enterprise-toepassing de gebruikers toe om zich te laten verifiëren met behulp van de AnyConnect VPN.
        Gebruikers en groepen toewijzen > + Gebruiker/groep toevoegen > Toewijzen

    Users/Groups AssignedToegewezen gebruikers/groepen

    5. Klik op Eenmalige aanmelding en configureer de SAML-parameters. Hier gebruiken we de FQDN gekopieerd in stap 1, en ook de VPN-profielnaam die u configureert in "Configuratie Cisco Secure Access" later in stap 2.

    Als u VPN Global FQDN bijvoorbeeld example1.vpn.sse.cisco.com gebruikt en uw Cisco Secure Access VPN-profielnaam VPN_EntraID is, zijn de waarden voor (Entity ID) en de Reply URL (Assertion Consumer Service URL):

    Identificatiecode (Entiteit-ID): https://example1.vpn.sse.cisco.com/saml/sp/metadata/VPN_EntraID
    Beantwoord-URL (Bewering Consumer Service-URL): https://example1.vpn.sse.cisco.com/+CSCOE+/saml/sp/acs?tgname=VPN_EntraID

    SAML Parameters in AzureSAML-parameters in Azure

    6. Download de Federation Metadata XML.

    jbrenesm_2-1745427384913

    Cisco Secure Access-configuratie

    1. Meld u aan bij het Cisco Secure Access-dashboard en voeg een IP-pool toe.

        Verbinding maken > Connectiviteit voor eindgebruikers > Virtueel particulier netwerk > IP-pool toevoegen

        

    Regio: Selecteer de regio waar uw RA VPN wordt geïmplementeerd.
    Display name: De naam voor de VPN IP-pool.
    DNS-server: maken of toewijzen van de DNS-server die gebruikers gebruiken voor DNS-resolutie zodra ze verbinding hebben gemaakt.
    Systeem-IP-pool: Gebruikt door Secure Access voor functies zoals Radius-verificatie, is het verificatieverzoek afkomstig van een IP binnen dit bereik.
    IP-pool: voeg een nieuwe IP-pool toe en geef aan welke IP-adressen gebruikers krijgen wanneer ze verbinding maken met de RA VPN.

    Add VPN ProfileVPN-profiel toevoegen

    Config of IP Pool - Part 1Configuratie van IP-pool - Deel 1

    Config of IP Pool - Part 2Configuratie van IP-pool - Deel 2

    2. Voeg een VPN-profiel toe. 

        Verbinding maken > Connectiviteit van eindgebruiker > Virtueel privé-netwerk > VPN + profiel

    Algemene instellingen

    note-icon

    Opmerking: De naam van het VPN-profiel moet overeenkomen met de naam die u in "Configuration Azure" in stap 5 hebt geconfigureerd. In deze configuratiehandleiding hebben we VPN_EntraID gebruikt, dus we configureren hetzelfde in Cisco Secure Access als de VPN-profielnaam.

    VPN-profielnaam: Naam voor dit VPN-profiel, alleen zichtbaar in het dashboard.

    Display name: Naam eindgebruikers zie in het keuzemenu 'Secure Client - Anyconnect' (Beveiligde client - Anyconnect), zie wanneer u verbinding maakt met dit RA VPN-profiel. 
    Standaarddomein: Domeingebruikers worden eenmaal verbonden met de VPN.
    DNS-servers: DNS-server de VPN-gebruikers krijgen eenmaal verbonden met de VPN.
        Regio opgegeven: gebruikt de DNS-server die is gekoppeld aan de VPN IP-pool.
        Aangepast opgegeven: u kunt handmatig de gewenste DNS toewijzen.
    IP-pools: IP's die de gebruikers krijgen toegewezen zodra ze met de VPN zijn verbonden.
    Profielinstellingen: Dit VPN-profiel voor Machine Tunnel opnemen of regionale FQDN opnemen zodat de eindgebruiker de regio selecteert waarmee hij verbinding wil maken (afhankelijk van de geïmplementeerde IP-pools).
    Protocollen: Selecteer het protocol dat u wilt dat uw VPN-gebruikers gebruiken voor het tunnelen van het verkeer.
    Verbindingstijdhouding (optioneel): indien nodig om VPN Posture te doen op het moment van verbinding. Meer informatie hier 

    VPN Profile config - Part 1VPN-profielconfiguratie - Deel 1

    VPN Profile config - Part 2VPN-profielconfiguratie - Deel 2

    Verificatie, autorisatie en accounting

    Protocollen: Selecteer SAML.

    Authenticatie met CA-certificaten: Als u wilt authenticeren met behulp van een SSL-certificaat en autoriseren tegen een IdP SAML-provider.
    Herverificatie forceren: dwingt een herverificatie af wanneer een VPN-verbinding wordt gemaakt. Gedwongen herauthenticatie is gebaseerd op Session Timeout. Dit kan worden onderworpen aan de SAML IdP-instellingen (Azure in dit geval).

    Upload het XML-bestand Federation Metadata XML-bestand gedownload in "Configure Azure" in stap 6.

    SAML ConfigSAML Config

    verkeerssturing (split tunnel)

    Tunnelmodus:
        Verbinding maken met beveiligde toegang: al het verkeer wordt verzonden via de tunnel (alle tunnels).
        Veilige toegang omzeilen: Alleen specifiek verkeer dat is gedefinieerd in het gedeelte Uitzonderingen is getunneld (Split Tunnel).
    DNS-modus:
        Standaard DNS: Alle DNS-query's worden verplaatst via de DNS-servers die zijn gedefinieerd door het VPN-profiel. In het geval van een negatieve respons kunnen de DNS-query's ook naar de DNS-servers gaan die op de fysieke adapter zijn geconfigureerd.
        Tunnel All DNS: Tunnels alle DNS-queries via de VPN.
        Splitsen van DNS: Alleen specifieke DNS-query's gaan door het VPN-profiel, afhankelijk van de onderstaande domeinen.

    Traffic Steering Configverkeersstuurconfiguratie

    Cisco Secure Client Configuration
    In het kader van deze handleiding configureren we geen van deze geavanceerde instellingen. Geavanceerde functies kunnen hier worden geconfigureerd, bijvoorbeeld: TND, Always-On, Certificate Matching, Local LAN Access, enzovoort. Sla de instellingen hier op. 

    Advanced SettingsGeavanceerde instellingen

    3. Uw VPN-profiel moet er zo uitzien. U kunt het xml-profiel downloaden en vooraf implementeren bij de eindgebruikers (onder "C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile") om de VPN te gebruiken, of hen de profiel-URL geven die moet worden ingevoerd in de Cisco Secure Client - AnyConnect VPN UI.

    Global FQDN and Profile URLGlobale FQDN en profiel-URL

    Verifiëren

    Op dit punt moet uw RA VPN-configuratie klaar zijn voor testen.
    Merk op dat de eerste keer dat de gebruikers verbinding maken, ze het profiel-URL-adres moeten krijgen of het xml-profiel vooraf op hun pc's moeten implementeren onder "C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile", de VPN-service opnieuw moeten starten en ze in het vervolgkeuzemenu de optie moeten zien om verbinding te maken met dit VPN-profiel.

    In dit voorbeeld geven we het profiel-URL-adres aan de gebruiker voor de eerste poging tot verbinding.

    Voorafgaand aan de eerste verbinding:

    Prior VPN ConnectionEerdere VPN-verbinding

    Voer uw referenties in en maak verbinding met de VPN:

    Connected to VPNVerbonden met VPN

    Nadat u de eerste keer verbinding hebt gemaakt, moet u nu in het vervolgkeuzemenu de optie kunnen zien om verbinding te maken met het VPN-Lab-VPN-profiel:

    After the first VPN ConnectionNa de eerste VPN-verbinding

    Controleer in de logboeken voor externe toegang dat de gebruiker verbinding kon maken:

    Monitor > Logboek externe toegang

    Logs in Cisco Secure AccessLogboeken in Cisco Secure Access

    Probleemoplossing

    Hier wordt de basis probleemoplossing beschreven die kan worden uitgevoerd voor een aantal veelvoorkomende problemen:

    Azure

    Zorg er in Azure voor dat de gebruikers zijn toegewezen aan de Enterprise Application die is gemaakt voor de verificatie tegen Cisco Secure Access:

        Home > Bedrijfstoepassingen > Cisco Secure Access RA VPN > Beheren > Gebruikers en groepen

    Verify assignment of usersToewijzing van gebruikers controleren

    Cisco Secure Access

    Zorg er in Cisco Secure Access voor dat u de gebruikers hebt voorzien die verbinding mogen maken via RA VPN en dat ook de gebruikers die zijn voorzien in Cisco Secure Access (onder gebruikers, groepen en eindpuntapparaten) overeenkomen met de gebruikers in Azure (de gebruikers die zijn toegewezen in de bedrijfstoepassing).

        Verbinden > Gebruikers, groepen en eindpuntapparaten

    Users in Cisco Secure AccessGebruikers in Cisco Secure Access

    Controleer of de gebruiker het juiste XML-bestand op de pc heeft ontvangen of dat de gebruiker de profiel-URL heeft gekregen, zoals vermeld in de stap "Verifiëren".

        Verbinding maken > Connectiviteit voor eindgebruikers > Virtual Private Network 

    Profile URL and .xml profileProfiel URL en .xml profiel

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    24-Apr-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Josue David Brenes
      Security Customer Success Specialist

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten