Dit document beschrijft SAML-verificatie met Azure Identity Provider voor meerdere tunnelgroepen op Cisco ASA.
Cisco raadt kennis van deze onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Microsoft Azure kan meerdere toepassingen voor dezelfde entiteit-ID ondersteunen. Elke toepassing (toegewezen aan een andere tunnelgroep) vereist een uniek certificaat. Op ASA kunnen meerdere tunnelgroepen worden geconfigureerd om verschillende met Override Identity Provider (IdP) beveiligde toepassingen te gebruiken vanwege de IdP-certificaatfunctie. Met deze functie kunnen beheerders het primaire IdP-certificaat in het serverobject Single Sign-On (SSO) overschrijven met een specifiek IdP-certificaat voor elke tunnelgroep. Deze functie werd geïntroduceerd op ASA vanaf versie 9.17.1.
Wanneer de eindgebruiker een aanmelding start door toegang te krijgen tot de ASA, verloopt het aanmeldingsgedrag als volgt:
1. Wanneer de VPN-gebruiker een tunnelgroep met SAML opent of kiest, wordt de eindgebruiker voor verificatie doorgestuurd naar de SAML IdP. De gebruiker wordt gevraagd, tenzij de gebruiker rechtstreeks toegang heeft tot de groep-URL, in welk geval de omleiding stil is.
2. De ASA genereert een SAML Authentication Request, dat de browser doorstuurt naar de SAML IdP.
3. De IdP daagt de eindgebruiker uit voor referenties en de eindgebruiker logt in. De ingevoerde referenties moeten voldoen aan de IdP-verificatieconfiguratie.
4. Het IdP-antwoord wordt teruggestuurd naar de browser en wordt geplaatst op de ASA-inlog-URL. De ASA verifieert het antwoord om de login te voltooien.
In dit voorbeeld wordt Microsoft Entra SSO-integratie met Cisco Secure Firewall - Secure Client on Azure toegevoegd voor twee tunnelgroepen die op ASA zijn geconfigureerd:
Als u de integratie van Cisco Secure Firewall - Secure Client in Microsoft Entra ID wilt configureren, moet u Cisco Secure Firewall - Secure Client vanuit de galerij toevoegen aan uw lijst met beheerde SaaS-apps.
Opmerking: deze stappen zijn bedoeld voor het toevoegen van Cisco Secure Firewall - Secure Client aan de galerij voor de eerste tunnelgroep, SAML1.
Stap 1. Meld u aan bij het Azure Portal en kies Microsoft Entra ID.
Microsoft Entra ID
Stap 2. Kies Enterprise Applications (Enterprise-toepassingen), zoals in het image wordt weergegeven.
Enterprise-toepassing
Stap 3. Kies een nieuwe toepassing.
nieuwe aanvrage
Stap 4. Typ in het gedeelte Toevoegen in de galerij het vak Cisco Secure Firewall - Secure Client in het zoekvak, kies Cisco Secure Firewall - Secure Client in het resultatenpaneel en voeg de app toe.
Cisco Secure Firewall - Secure Client
Stap 5. Kies de menuoptie Eenmalige aanmelding.
Eenmalige aanmelding instellen
Stap 6. Kies SAML op de pagina Selecteer één aanmeldingsmethode.
SAML
Stap 7. Klik op de pagina Eenmalige aanmelding met SAML instellen op het pictogram Bewerken/pen voor Basic SAML Configuration om de instellingen te bewerken.
Basisconfiguratie van SAMLStap 8. Voer op de pagina Eenmalige aanmelding met SAML instellen de waarden voor deze velden in:
https://<VPN URL>/saml/sp/metadata/<Tunnel_Group_Name>
https://<VPN URL>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name> [Tunnel_Group_Name = SAML1]
Opmerking: Tunnel_Group_Name is hoofdlettergevoelig en de waarde mag geen puntjes '.' en slashes '/' bevatten.
Stap 9. Zoek op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-ondertekeningscertificaat naar Certificaat (Base64) en kies Downloaden om het certificaatbestand te downloaden en op te slaan op uw computer.
Certificaat(Base64) Download
Opmerking: Dit gedownloade certificaat wordt geïmporteerd in het ASA-trustpoint AzureAD-AC-SAML1. Raadpleeg de sectie ASA-configuratie voor meer informatie.
Stap 10. Kopieer in het gedeelte Cisco Secure Firewall - Secure Client instellen de juiste URL('s) op basis van uw vereisten. Deze URL('s) worden gebruikt om het SSO Server-object op ASA te configureren.
SSO-URL
Opmerking: Herhaal de eerdere configuratiestappen om Cisco Secure Firewall - Secure Client-app toe te voegen vanuit de galerij voor de tweede tunnelgroep. De tweede tunnelgroepnaam is in dit geval SAML2.
Bij het toevoegen van de Cisco Secure Firewall - Secure Client-app voor de tweede tunnelgroep (SAML 2) wordt het Azure-certificaat dat in stap 8 is gedownload, geïmporteerd in het ASA-trustpoint AzureAD-AC-SAML2.
In dit gedeelte kunnen Test1 en Test2 Azure SSO gebruiken, omdat u toegang verleent tot de Cisco Secure Client-app.
Voor de eerste IDp-toepassing:
Stap 1. Kies op de overzichtspagina van de eerste IdP-toepassing de optie Gebruikers en groepen en vervolgens Gebruiker toevoegen.
Gebruiker en groepen
Stap 2. Kies Gebruikers of groepen in het dialoogvenster Toewijzing toevoegen.
Toewijzing toevoegen 1
Stap 3. Klik in het dialoogvenster Add Assignment (Toewijzing toevoegen) op de knop Assign (Toewijzen).
Test1 Gebruikerstoewijzing
Voor de tweede IDp-toepassing:
Herhaal de vorige stappen voor de tweede Idp-toepassing zoals in deze afbeeldingen wordt weergegeven:
Toewijzing toevoegen 2
Test2 Gebruikerstoewijzing
Test1 Gebruikerstoewijzing:
Toewijzing aan één gebruiker testen
Test2 Gebruikerstoewijzing:
Test 2 Gebruikerstoewijzing
Stap 1. Trustpoints aanmaken en SAML-certificaten importeren.
Configureer twee Trustpoints en importeer de respectieve SAML-certificaten voor elke tunnelgroep:
config t
crypto ca trustpoint AzureAD-AC-SAML1 revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML1 -----BEGIN CERTIFICATE----- … PEM Certificate Text you downloaded from AzureAD goes here … -----END CERTIFICATE----- quit
!
!
crypto ca trustpoint AzureAD-AC-SAML2 revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML2 -----BEGIN CERTIFICATE----- … PEM Certificate Text you downloaded from AzureAD goes here … -----END CERTIFICATE----- quit
Stap 2. Configureer de SAML IdP.
Voer deze opdrachten uit om de SAML IdP-instellingen te leveren.
webvpn saml idp https://xxx.windows.net/xxxxxxxxxxxxx/ - [Azure AD Identifier] url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 - [Login URL] url sign-out https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 – [Logout URL] trustpoint idp AzureAD-AC-SAML1 - [IdP Trustpoint] trustpoint sp ASA-EXTERNAL-CERT - [SP Trustpoint] no force re-authentication no signature base-url https://asa.example.com
Stap 3. Pas SAML-verificatie toe op de eerste VPN-tunnelgroep.
Configureer de SAML1-tunnelgroep met het AzureAD-AC-SAML1 IdP-trustpoint.
tunnel-group SAML1 webvpn-attributes
authentication saml
group-alias SAML1 enable
saml identity-provider https://xxx.windows.net/xxxxxxxxxxxxx/
saml idp-trustpoint AzureAD-AC-SAML1 <---- Overrides the primary IDP certificate in the Single Sign-On (SSO) Server object
Stap 4. Pas de SAML-verificatie toe op de tweede VPN-tunnelgroep.
Configureer de SAML2 Tunnel Group met het AzureAD-AC-SAML2 IdP-trustpoint.
tunnel-group SAML2 webvpn-attributes
authentication saml
group-alias SAML2 enable
saml identity-provider https://xxx.windows.net/xxxxxxxxxxxxx/
saml idp-trustpoint AzureAD-AC-SAML2 <---- Overrides the primary IDP certificate in the Single Sign-On (SSO) Server object
Stap 5: Sla de configuratie op.
write memory
Opmerking: Als u wijzigingen aanbrengt in de IdP-configuratie, moet u de configuratie van de SAML-identiteitsleverancier verwijderen uit uw Tunnel Group en deze opnieuw toepassen om de wijzigingen van kracht te laten worden.
AnyConnect testen met SAML-verificatie.
Stap 1. Maak verbinding met uw VPN-URL en voer uw aanmeldingsgegevens voor Azure AD in.
Stap 2. (Optioneel) Goedkeuren van het aanmeldingsverzoek.
Stap 3. AnyConnect is verbonden.
De meeste probleemoplossing voor SAML heeft te maken met een verkeerde configuratie die kan worden gevonden wanneer de SAML-configuratie wordt gecontroleerd of wanneer foutopsporing wordt uitgevoerd. De debug webvpn saml 255 kan worden gebruikt om de meeste problemen op te lossen, maar in scenario's waarin dit debug geen nuttige informatie biedt, kunnen aanvullende debugs worden uitgevoerd, zoals:
debug webvpn saml 255 debug webvpn 255 debug webvpn session 255 debug webvpn request 255
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
08-Jul-2026
|
Bijgewerkte spelling, grammatica, spatiëring, toegevoegde regels voor leesbaarheid en het scheiden van secties en bijgewerkt voor CCW-waarschuwingen. |
1.0 |
28-Mar-2025
|
Eerste vrijgave |