Configurar Umbrella com ADFS Versão 3.0 Usando SAML

Introdução

Este documento descreve como configurar o SAML entre o Cisco Umbrella e o Ative Diretory Federation Services (ADFS) versão 3.0.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco Umbrella.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Overview

Este artigo explica como configurar o SAML entre o Cisco Umbrella e o Ative Diretory Federation Services (ADFS) versão 3.0. A configuração do SAML com o ADFS difere das outras integrações SAML do Umbrella, pois não é um processo de um ou dois cliques no assistente, mas requer alterações no ADFS para funcionar corretamente.

Este artigo tem modificações detalhadas que você deve fazer para que o SAML e o ADFS funcionem juntos. As etapas principais são primeiro desabilitar a criptografia entre seu ambiente ADFS e o Cisco Umbrella e, em seguida, adicionar algumas Regras de Declaração Personalizada de Transformação de Emissão à configuração da parte relay do Umbrella.

Execute essas etapas apenas com uma configuração de ADFS existente e em funcionamento. O Cisco Umbrella Support não pode fornecer assistência ou suporte para ajudar a configurar o ADFS em um ambiente específico.

Somente o ADFS versão 3.0 é suportado (Windows Server 2012 R2) por essas instruções no momento. É possível que versões anteriores (2.0 ou 2.1) ou posteriores (4.0) do ADFS funcionem com a integração do Umbrella SAML, mas isso não foi testado nem comprovado. Se você tiver uma versão diferente do ADFS e estiver interessado em trabalhar com nossas equipes de Suporte e Produto para integrar, entre em contato com o Suporte do Cisco Umbrella.

Você pode encontrar os pré-requisitos para a configuração SAML inicial na documentação do Umbrella: Integrações de identidade: Pré-requisitos. Depois de concluir essas etapas, você poderá continuar usando as instruções específicas do ADFS neste artigo para concluir a configuração.

As etapas na documentação do Umbrella mencionam que você precisa carregar seus metadados SAML (ADFS) no Umbrella. Você pode acessar seus metadados navegando até esse URL e, em seguida, carregando o arquivo XML.

https://{your-ADFS-domain-name}/federationmetadata/2007-06/federationmetadata.xml

Desabilitar criptografia

1. Abra o Gerenciamento do AD FS. Expanda Relações de Confiança e selecione Relações de Confiança da Terceira Parte Confiável.

2. Clique com o botão direito do mouse na terceira parte confiável do Umbrella (ou no nome que você designar) e selecione Propriedades.

3. Selecione a guia Criptografia.

4. Selecione Remover para remover o certificado para criptografia.

5. Selecione OK para fechar a tela.

Adicionando novas regras de reivindicação de transformação de emissão

1. Abra o Gerenciamento do AD FS. Expanda Relações de Confiança e selecione Relações de Confiança da Parte Retransmissora.

2. Clique com o botão direito do mouse na parte relay do Umbrella (ou no nome que você designar) e selecione Editar Regras de Reivindicação.

3. Em Regras de Transformação de Emissão, selecione Adicionar Regra.

4. Selecione Enviar reivindicações usando uma regra personalizada.

Veja esta captura de tela para a lista de regras que você pode adicionar.

Depois de adicionar cada uma dessas regras, a integração pode começar a funcionar.

Transformar Regras

Caution: Essas regras foram testadas e funcionam no ambiente de laboratório ADFS da Umbrella, bem como em alguns ambientes de produção do cliente. Modifique-os para que se ajustem ao seu ambiente.

userPrincipalName para endereço de e-mail

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";userPrincipalName;{0}", param = c.Value);

Enviar e-mail para NameID

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
= "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

Anexo: Fazer login com o atributo 'mail' 

Por padrão, o ADFS autentica os usuários pelo seu UPN (Nome UPN). Se o endereço de e-mail do usuário (nome da conta Umbrella) não corresponder ao UPN dele, serão necessárias etapas adicionais. Consulte este artigo da Base de conhecimento: Como configuro o AD FS no Cisco Umbrella Dashboard para permitir logons com um endereço de email?