O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar o SSO (Single Sign-On, logon único) do Firepower Management Center (FMC) com o Azure como provedor de identidade (idP).
O Security Assertion Markup Language (SAML) é com mais frequência o protocolo subjacente que torna o SSO possível. Uma empresa mantém uma única página de login, atrás dela está um repositório de identidade e várias regras de autenticação. Ele pode facilmente configurar qualquer aplicativo da Web que suporte SAML, o que permite que você faça login em todos os aplicativos da Web. Ele também tem o benefício de segurança de não forçar os usuários a manter (e potencialmente reutilizar) senhas para cada aplicativo da Web ao qual eles precisam acessar, nem expor senhas a esses aplicativos da Web.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Terminologias SAML
A configuração do SAML deve ser feita em dois locais: no IdP e no SP. O IdP precisa ser configurado para que ele saiba para onde e como enviar usuários quando desejam fazer logon em uma controladora específica. O SP precisa ser configurado para que ele saiba que pode confiar em asserções SAML assinadas pelo IdP.
Definição de alguns termos centrais para o SAML:
Provedor de identidade (IdP) - A ferramenta ou serviço de software (geralmente visualizado por uma página de login e/ou painel) que executa a autenticação; verifica o nome de usuário e as senhas, verifica o status da conta, invoca dois fatores, etc.
Provedor de serviços (SP) - O aplicativo da Web no qual o usuário tenta obter acesso.
SAML Assertion - Uma mensagem que afirma a identidade de um usuário e, muitas vezes, outros atributos, enviada por HTTP via redirecionamentos do navegador
As especificações de uma asserção SAML, o que ela deve conter e como deve ser formatada são fornecidas pelo SP e definidas no IdP.
No verso da seção acima, esta seção fala sobre as informações fornecidas pelo IdP e definidas na controladora de armazenamento.
https://access.wristbandtent.com/logout
O recurso SSO no FMC é apresentado a partir da versão 6.7. O novo recurso simplifica a RBAC (Autorização de FMC), pois mapeia as informações existentes para as funções de FMC. Ele se aplica a todos os usuários de IU do FMC e às funções do FMC. Por enquanto, ele suporta a especificação SAML 2.0 e esses IDPs suportados
OKTA
OneLogin
PingID
Azure AD
Outros (qualquer IDP compatível com SAML 2.0)
O SSO pode ser configurado somente para o domínio global.
Os FMCs no par HA precisam de configuração individual.
Somente administradores locais/AD podem configurar o Logon único.
Etapa 1. Faça login no Microsoft Azure. Navegue para Azure Ative Diretory > Enterprise Application.
Etapa 3. Edite o Aplicativo que foi criado e navegue para Configurar logon único > SAML, como mostrado nesta imagem.
Etapa 4. Edite a Configuração SAML básica e forneça os detalhes do FMC:
Mantenha o restante como padrão - isso é discutido com mais detalhes sobre o acesso baseado em função.
Isso marca o fim da configuração do provedor de identidade. Faça o download do XML de metadados de federação que será usado para a configuração do FMC.
Etapa 1. Faça login no FMC, navegue para Settings > Users > Single Sign-On e Enable SSO. Selecione Azure como Provedor.
Etapa 2. Carregue o arquivo XML baixado do Azure aqui. Ele preenche automaticamente todos os detalhes necessários.
Etapa 3. Verifique a configuração e clique em Salvar, como mostrado nesta imagem.
Para usar vários tipos de função para mapear para Funções do FMC - Você precisa editar o manifesto do Aplicativo no Azure para atribuir valores a funções. Por padrão, as funções têm valor como Nulo.
Etapa 1. Navegue até o Aplicativo criado e clique em Logon único.
Etapa 2. Edite os atributos do usuário e as reivindicações. Adicionar uma nova reivindicação com o nome: funções e selecione o valor como user.assignedroles.
Etapa 3. Navegue até <Application-Name> > Manifest. Edite o Manifesto. O arquivo está no formato JSON e um usuário padrão está disponível para cópia. Por exemplo - aqui 2 funções são criadas: Usuário e analista.
Etapa 4. Navegue até <Application-Name> > Users and Groups (Usuários e grupos). Edite o usuário e atribua as funções recém-criadas, como mostrado nesta imagem.
Etapa 4. Faça login no FMC e edite a Configuração avançada no SSO. Para, Atributo do membro do grupo: aatribua o nome de exibição que você forneceu no Manifesto do aplicativo às funções.
Depois que isso for feito, você poderá fazer login na função designada.
Etapa 1. Navegue até a URL do FMC no seu navegador: https://<URL do FMC>. Clique em Logon único, como mostrado nesta imagem.
Você é redirecionado para a página de login da Microsoft e o login bem-sucedido retornará a página padrão do FMC.
Etapa 2. No FMC, navegue até System > Users para ver o usuário SSO adicionado ao banco de dados.
Verifique a autenticação SAML e este é o fluxo de trabalho que você obtém para uma autorização bem-sucedida (esta imagem é de um ambiente de laboratório):
Verifique os registros SAML no FMC em /var/log/auth-daemon.log