Configurar Atribuição de Política de Grupo para SAML Usando Firewall Seguro e ID do Microsoft Entra

Opções de download

  • PDF     (858.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (710.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (864.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:4 de agosto de 2025
ID do documento:223460

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como atribuir políticas de grupo usando o Microsoft Entra ID para autenticação SAML do Cisco Secure Client no Cisco Secure Firewall.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você conheça estes tópicos:

    • Cisco Secure Client AnyConnect VPN
    • Configuração de objeto de servidor do Cisco Firepower Threat Defense (FTD) ou Cisco Secure Firewall ASA de acesso remoto VPN e Single Sign-on (SSO)
    • Configuração do Provedor de Identidade (IdP) do Microsoft Entra ID

    Componentes Utilizados

    As informações neste guia são baseadas nestas versões de hardware e software:

    • FTD versão 7.6
    • FMC versão 7.6
    • IdP SAML do MS Entra ID 

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    SAML (Security Assertion Markup Language) é uma estrutura baseada em XML para troca de dados de autenticação e autorização entre domínios de segurança. Ele cria um círculo de confiança entre o usuário, um provedor de serviços (SP) e um provedor de identidade (IdP) que permite que o usuário entre uma única vez para vários serviços. O SAML pode ser usado para autenticação de VPN de acesso remoto para conexões do Cisco Secure Client com headends de VPN do ASA e do FTD, onde o ASA ou o FTD é a parte do SP do círculo de confiança.

    Neste documento, o Microsoft Entra ID/Azure é usado como o IdP. No entanto, também é possível atribuir políticas de grupo usando outros IdPs, pois ele se baseia em atributos padrão que podem ser enviados na asserção SAML.

    note-icon

    Note: Esteja ciente de que cada usuário deve pertencer somente a um grupo de usuários no MS Entra ID, pois vários atributos SAML sendo enviados ao ASA ou FTD podem causar problemas com a atribuição de política de grupo, conforme detalhado no ID de bug da Cisco CSCwm33613

    Configurar

    Configuração SAML do FMC

    No FMC, navegue até Objects > Object Management > AAA Server > Single Sign-on Server. O certificado Entity ID, SSO URL, Logout URL e Identity Provider são obtidos do IdP, consulte a Etapa 6 na seção Microsoft Entra ID. O URL base e o certificado do provedor de serviços são específicos do FTD ao qual a configuração está sendo adicionada.

    FMC SSO Object ConfigurationConfiguração do objeto SSO do FMC

    Configuração do grupo de túneis FMC RAVPN

    No FMC, navegue para Devices > VPN > Remote Access > Connection Profile e selecione ou crie a política de VPN para o FTD que você está configurando. Depois de selecionado, crie um perfil de conexão semelhante a este:

    FMC Connection Profile Address AssignmentAtribuição de endereço de perfil de conexão FMC

    FMC Connection Profile AAA configurationConfiguração AAA do perfil de conexão FMC

    Configuração da política de grupo FMC RAVPN

    1. Você deve criar uma política de grupo com as opções necessárias para cada grupo de usuários no Entra ID e adicionar à política RAVPN para o FTD que está sendo configurado. Para isso, navegue até Devices > VPN > Remote Access > Advanced e selecione Group Policies no lado esquerdo e, em seguida, clique no + no canto superior direito para adicionar uma política de grupo. 

    FMC add group policyFMC adicionar política de grupo

    2. Clique no + no pop-up para abrir a caixa de diálogo para criar uma nova Política de grupo. Preencha as opções necessárias e salve. 

    note-icon

    Note: Se você já criou a diretiva de grupo necessária, ignore esta etapa e continue na etapa 3

    Create new group policyCriar nova política de grupo

    Group Policy optionsOpções de Política de Grupo

    3. Selecione a política de grupo recém-criada na lista à esquerda e clique no botão Adicionar. Em seguida, clique em Ok para salvar a lista.

    add group policyadicionar política de grupo

    Metadados de FTD

    Depois que a configuração tiver sido implantada no FTD, navegue até a CLI do FTD e execute o comando "show saml metadata <tunnel group name>" e reúna o ID da Entidade do FTD e o URL do ACS.

    note-icon

    Note: O certificado nos metadados foi truncado para abreviar.

    FTD# show saml metadata SAMLtest
    SP Metadata
    -----------
    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <EntityDescriptor entityID="https://vpn.example.net/saml/sp/metadata/SAMLtest" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
    <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <KeyDescriptor use="signing">
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:X509Data>
    <ds:X509Certificate>
    MIIFWzCCBEOgAwIBAgITRwAAAAgZ9Nmfv5mpJQAAAAAACDANBgkqhkiG9w0BAQsF
    ADBJMRMwEQYKCZImiZPyLGQBGRYDY29tMRYwFAYKCZImiZPyLGQBGRYGcnRwdnBu
    MRowGAYDVQQDExFydHB2cG4tV0lOQVVUSC1DQTAeFw0yNTAzMjUxNzU5NDZaFw0y
    NzAzMjUxNzU5NDZaMDAxDzANBgNVBAoTBlJUUFZQTjEdMBsGA1UEAxMUcnRwdnBu
    LWZ0ZC5jaXNjby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC5
    5B0tH9RIjvG0MxhpDT3/BpDEFfTcVE2w2fxu5m8gZFTeeezyF5B93rWx+N26V8JE
    sB5I1KLTGRj8b9TK6L357cdbgr692Wl952TLFB3XC43gpe0fnN3+Uas/HJ3IudsF
    N+QPC9FO4LE88attuGuVMquV+10DRPA06a6QNwkehB0Un7XzTNepJ02JQtxdNR2t

    </ds:X509Certificate>
    </ds:X509Data>
    </ds:KeyInfo>
    </KeyDescriptor>
    <AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://vpn.example.net/+CSCOE+/saml/sp/acs?tgname=SAMLtest" />
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://vpn.example.net/+CSCOE+/saml/sp/logout"/><SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://vpn.example.net/+CSCOE+/saml/sp/logout"/></SPSSODescriptor>
    </EntityDescriptor>

    ID do Microsoft Entra

    1. No Portal do Microsoft Azure, selecione ID do Microsoft Entra no menu à esquerda.

    Microsoft Entra IDID do Microsoft Entra

    2. Selecione Aplicativos Corporativos.

    Enterprise ApplicationsAplicativos corporativos

    3. Selecione Nova Aplicação.

    note-icon

    Note: Se já houver um aplicativo empresarial configurado para a configuração FTD RAVPN, ignore as próximas etapas e continue na etapa 7.

    MS Entra ID Enterprise ApplicationAplicativo Empresarial MS Entra ID

    4. Selecione Cisco Secure Firewall - Secure Client (anteriormente AnyConnect) authentication em Aplicativos em destaque. Dê um nome ao aplicativo e selecione Criar.

    MS Entra ID Cisco Secure Firewall Secure Client (formerly AnyConnect) authentication applicationAplicativo de autenticação MS Entra ID Cisco Secure Firewall Secure Client (antigo AnyConnect)

    5. Uma vez no aplicativo, selecione Usuários e grupos e atribua os nomes de usuário ou grupo necessários ao aplicativo.

    Users and GroupsUsuários e grupos

    6. Selecione Single sign-on -> SAML e recupere a URL de Logon, o Microsoft Entra Identifier e a URL de Logout para a seção Configuração do SAML do FMC deste guia.  

    Single Sign-onLogon único

    IdP URLsURLs IdP

    7. Configure a Configuração SAML Básica com o URL do Identificador (ID da Entidade) e da Resposta (ACS) recuperado dos metadados do FTD e salve.

    Basic SAML ConfigurationConfiguração SAML básica

    8. Selecione Edit para Attribute & Claims e clique em Add new claim

    Attributes & ClaimsAtributos e reivindicações

    9. A nova reivindicação deve ter o nome cisco_group_policy.

    Manage ClaimGerenciar reivindicação

    10. Expanda a seção para Condições da reivindicação. Selecione o Tipo de usuário e os Grupos com escopo, escolha Atributo para a Origem e adicione o nome de política de grupo correto da configuração de FTD no campo Valor e clique em Salvar.

    note-icon

    Note: O nome da política de grupo personalizada do FTD usado neste exemplo é a política de grupo chamada SAMLtest-GP criada na seção Configuração de Política de Grupo FMC RAVPN deste guia. Esse valor deve ser substituído pelo nome da política de grupo do FTD que corresponde a cada grupo de usuários no IdP.

    MS Entra ID claim conditionCondição de declaração de ID do MS Entra

    Verificar

    FTD

    Para verificar a política de grupo desejada, valide a saída de "show vpn-sessiondb anyconnect"

    FTD# show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username : RTPVPNtest
    Index : 7110
    Assigned IP : 192.168.55.3 Public IP : 10.26.162.189
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA256
    Bytes Tx : 105817 Bytes Rx : 63694
    Group Policy : SAMLtest-GP Tunnel Group : SAMLtest
    Login Time : 16:54:17 UTC Fri May 9 2025
    Duration : 0h:11m:19s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : ac127ca101bc6000681e3339
    Security Grp : none Tunnel Zone : 0

    Para verificar se o IdP está enviando a declaração desejada, obtenha a saída de "debug webvpn saml 255" ao conectar-se à VPN. Analise a saída de asserção nas depurações e compare a seção do atributo com o que está configurado no IdP.

    <Attribute Name="cisco_group_policy">
    <AttributeValue>SAMLtest-GP</AttributeValue>
    </Attribute>

    Troubleshooting

    firepower# show run webvpn
    firepower# show run tunnel-group
    firepower# show crypto ca certificate
    firepower# debug webvpn saml 255
    firepower# debug webvpn 255
    firepower# debug aaa authorization

    Informações Relacionadas

    Suporte técnico e downloads da Cisco

    Guias de configuração do ASA

    Guias de configuração do FMC/FDM

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    04-Aug-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Everett Duke
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos