将Azure作为身份提供程序配置FMC SSO

简介

本文档介绍如何使用Azure作为身份提供程序(idP)配置Firepower管理中心(FMC)单点登录(SSO)。

先决条件

要求

Cisco 建议您了解以下主题：

• 对Firepower管理中心的基本了解
• 对单点登录的基本了解 

使用的组件

本文档中的信息基于以下软件版本：

• 思科Firepower管理中心(FMC)版本6.7.0
• Azure - IdP

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

SAML术语

安全断言标记语言(SAML)是实现SSO的最常见底层协议。一家公司维护着一个登录页面，在其后是身份库和各种身份验证规则。它可以轻松配置任何支持SAML的Web应用，允许您登录所有Web应用。它还有安全优势，既不强制用户为其需要访问的每个Web应用维护（并可能重复使用）密码，也不向这些Web应用暴露密码。

SAML的配置必须在两个位置完成：IdP和SP。需要配置IdP，使其了解当用户想要登录到特定SP时向何处发送以及如何发送。需要配置SP，使其知道可以信任由IdP签名的SAML断言。 

以下是SAML核心的几个术语的定义：

• 身份提供程序(IdP) -执行身份验证的软件工具或服务（通常由登录页和/或控制面板可视化）；检查用户名和密码、验证帐户状态、调用双因素和其他身份验证。 
  
  

• 服务提供商(SP) -用户尝试获取访问权限的Web应用程序。 
  
  

• SAML断言-通过HTTP通过浏览器重定向发送的断言用户身份和其他属性的消息

IdP配置

SAML断言的规范、包含的内容以及格式设置方式由SP提供，并在IdP处设置。 

• EntityID - SP的全局唯一名称。格式不尽相同，但是看到此值格式化为URL的现象越来越常见。
  示例：https://<FQDN-or-IPaddress>/saml/metadata

• 断言消费者服务(ACS)验证器-正则表达式(regex)形式的安全措施，用于确保SAML断言发送到正确的ACS。这仅在SP启动的登录期间起作用，其中SAML请求包含ACS位置，因此，此ACS验证程序将确保SAML请求提供的ACS位置是合法的。
  示例：https://<FQDN-or-IPaddress>/saml/acs

• Attributes -属性的数量和格式可能差别很大。 通常至少有一个属性nameID，它通常是尝试登录的用户的用户名。

• SAML签名算法- SHA-1或SHA-256。SHA-384或SHA-512不太常见。此算法与X.509证书结合使用在此处提到。

SP配置

与以上部分相反，本节介绍IdP提供的信息并在SP上设置。 

• 颁发者URL - IdP的唯一标识符。格式化为包含有关IdP信息的URL，以便SP可以验证其收到的SAML断言是从正确的IdP发出的。

• SAML SSO终端/服务提供商登录URL - SP在此使用SAML请求重定向时，发起身份验证的IdP终端。
  示例：https://login.microsoftonline.com/023480840129412-824812/saml2

• SAML SLO（单一注销）终结点-一个IdP终结点，当SP在此重定向时(通常在单击注销后)关闭IdP会话。
  示例：https://access.wristbandtent.com/logout

FMC上的SAML 

FMC中的SSO功能是从6.7开始引入的。新功能简化了FMC授权(RBAC)，因为它将现有信息映射到FMC角色。它适用于所有FMC UI用户和FMC角色。目前，它支持SAML 2.0规范以及这些支持的IDP

• OKTA

• OneLogin

• PingID

• Azure AD

• 其他（符合SAML 2.0的任何IDP）

限制与问题说明

• 只能为全局域配置SSO。

• HA对中的FMC需要单独配置。

• 只有本地/AD管理员可以配置单一登录。

• 不支持从Idp启动的SSO。

配置

身份提供程序上的配置 

步骤1:登录到Microsoft Azure。导航到Azure Active Directory > Enterprise Application。

• 第二步：在“非库应用程序”下创建新应用程序，如此图中所示：

第三步：编辑创建的应用程序，然后导航到Set up single sign on > SAML，如下图所示。

第四步：编辑基本SAML配置并提供FMC详细信息： 

• FMC URL：https://<FMC-FQDN或IP地址>
  
• 标识符（实体ID）：https://<FMC-FQDN或IP地址>/saml/metadata
  
• 回复URL：https://<FMC-FQDN-or-IPaddress>/saml/acs
  
• 登录URL：https://<FMC-QDN-or-IPaddress>/saml/acs
  
  
• 中继状态：/ui/login

将其余内容保留为默认值-对于基于角色的访问，将进一步讨论这一点。

这标志着身份提供程序配置的结束。下载用于FMC配置的联合元数据XML。

Firepower管理中心上的配置

步骤1:登录FMC，导航到设置>用户>单一登录并启用SSO。选择Azure作为提供程序。 

第二步：在此处上载从Azure下载的XML文件。它会自动填充所需的所有详细信息。 

第三步：验证配置并单击Save，如下图所示。

高级配置-使用Azure的RBAC

若要使用各种角色类型来映射到FMC的角色，您需要编辑Azure上的应用程序清单来向角色分配值。默认情况下，这些角色具有空值。

步骤1:导航到创建的应用程序，然后单击单一登录。

第二步：编辑用户属性和声明。添加名称为“roles”的新声明，然后选择值为user.assignedroles。

第三步：导航到<Application-Name> > Manifest。 编辑清单。文件采用JSON格式，默认用户可供复制。例如-此处创建了2个角色：用户和分析师。

第四步：导航到<Application-Name> > Users and Groups。编辑用户并分配新创建的角色，如下图所示。

第四步：登录FMC并在SSO中编辑高级配置。对于，Group Member Attribute：将在应用程序清单中提供的显示名称分配给角色。

完成此操作后，您可以登录到其指定角色。

验证

步骤1:从浏览器导航至FMC URL：https://<FMC URL>。单击Single Sign-On，如下图所示。

然后，系统会将您重定向到Microsoft登录页面，并且成功登录将返回FMC默认页面。

第二步：在FMC上，导航到系统>用户，查看添加到数据库的SSO用户。

故障排除

验证SAML身份验证，这是成功授权所实现的工作流程（此映像为实验室环境）：

浏览器SAML日志

FMC SAML日志

在FMC上验证SAML日志，网址为/var/log/auth-daemon.log