Inleiding
In dit document wordt beschreven hoe u het Secure Firewall Management Center (FMC) kunt configureren voor verificatie via Single Sign-On (SSO) voor beheertoegang.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
· Basiskennis van Single Sign-On en SAML
· Inzicht in de configuratie op de Identity Provider (iDP)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende softwareversies:
· Cisco Secure Firewall Management Center (FMC) versie 7.2.4
· Duo als de Identity Provider
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Deze iDP's worden ondersteund en worden getest voor verificatie:
Okta
· OneLogin
· PingID
· Azure AD
· Andere (elke iDP die voldoet aan SAML 2.0)
Opmerking: geen nieuwe licentie vereist. Deze optie werkt zowel in gelicentieerde als in evaluatiemodus.
Beperkingen en beperkingen
Dit zijn bekende beperkingen en beperkingen voor SSO-verificatie voor FMC-toegang:
· SSO kan alleen worden geconfigureerd voor het Global Domain.
· FMC-apparaten die deelnemen aan HA-paar moeten individueel worden geconfigureerd.
· Alleen lokale/AD-beheerders kunnen SSO op FMC configureren (SSO-beheerders kunnen SSO-instellingen op FMC niet configureren of bijwerken).
Netwerkdiagram
![Network Diagram](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-00.png)
Configuratiestappen op de Identity Provider (Duo)
Ga vanuit het Dashboard naar Toepassingen:
Voorbeeld URL: https://admin-debXXXXX.duosecurity.com/applications
![Navigate to the Applications Tab](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-01.png)
Selecteer Bescherm een toepassing.
![Select Protect an Application](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-02.png)
Zoeken naar generieke SAML-serviceprovider.
![Search for Generic SAML Service Provider](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-03.png)
Download certificaat en XML.
![Download Certificate and XML](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-04.png)
Serviceprovider configureren.
Voer de SAML-instellingen in:
Enkelvoudige aanmelding via URL: https://<fmc URL>/saml/acs
URI (SP Entity ID) van het publiek: https://<fmc URL>/saml/metadata
Standaard RelayState: /ui/login
![Configure Service Provider](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-05.png)
Configuratie van beleid toepassen op alle gebruikers.
![Configure Apply Policy to All Users](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-06.png)
Gedetailleerd Pas een beleid toe.
Kies de gewenste beheerdersgroep in het juiste Aangepast beleid.
![Detailed Apply a Policy](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-07.png)
Configureer de benodigde beheerinstellingen.
![Configure Necessary Administrative Settings](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-08.png)
Toepassing opslaan.
![Save Application](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-09.png)
Configuratiestappen voor Secure Firewall Management Center
Log in bij het VCC met beheerdersrechten. Ga naar Systeem > Gebruikers.
![Firewall Management Center Users](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-10.png)
Klik op Single Sign-On, zoals in deze afbeelding.
![Activate Single Sign-On](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-11.png)
Schakel de optie Enkelvoudige aanmelding in (standaard uitgeschakeld).
![Enable the Single Sign-On](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-12.png)
Klik op SSO configureren om SSO-configuratie op FMC te starten.
![Configure SSO to Begin SSO Configuration on FMC](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-13.png)
Selecteer de Firewall Management Center SAML Provider. Klik op Next (Volgende).
Voor deze demonstratie wordt Overige gebruikt.
![Select Firewall Management Center SAML Provider](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-14.png)
U kunt ook kiezen voor Upload XML-bestand en het XML-bestand uploaden dat eerder is opgehaald uit Duo Configuration.
![Upload XML File](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-15.png)
Wanneer het bestand is geüpload, geeft het VCC de metagegevens weer. Klik op Volgende, zoals in deze afbeelding.
![FMC displays Metadata](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-16.png)
Controleer de metadata. Klik op Opslaan, zoals in deze afbeelding.
![Verify the Metadata](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-17.png)
Configureer de rol Toewijzing van rollen/standaardgebruikersrol onder Geavanceerde configuratie.
![Configure the Role Mapping/Default User Role](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-18.png)
Klik op Testconfiguratie om de configuratie te testen, zoals in deze afbeelding wordt weergegeven.
![Test the Configuration](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-19.png)
Voorbeeld getoond van een succesvolle testverbinding.
![Example of a Successful Test Connection](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-20.png)
Klik op Toepassen om de configuratie op te slaan.
![Save the Configuration](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-21.png)
SSO is ingeschakeld.
![SSO Enabled Successfully](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-22.png)
Verifiëren
Navigeer naar de FMC URL vanuit uw browser: https://<fmc URL>. Klik op Eenmalige aanmelding.
![Navigate to the FMC URL from your Browser](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-23.png)
Je wordt doorgestuurd naar de iDP (Duo) inlogpagina. Geef uw SSO-referenties op. Klik op Inloggen.
![DUO Single Sign-On](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-24.png)
Als dit lukt, kunt u inloggen en de standaardpagina van het VCC bekijken.
In FMC, navigeer aan Systeem > Gebruikers om de gebruiker te zien SSO die aan het gegevensbestand wordt toegevoegd.
![User Database](/c/dam/en/us/support/docs/security/secure-firewall-management-center-virtual/220639-configure-secure-firewall-management-cen-25.png)