使用Entra ID配置RA VPNaaS的思科安全访问

简介

本文档分步介绍如何在Cisco安全访问上配置RA VPN以根据Entra ID进行身份验证。

先决条件

Cisco 建议您了解以下主题：

• 使用Azure/Entra ID的知识。
• 思科安全访问知识。

要求

在继续操作之前，必须满足以下要求：

• 以完全管理员身份访问您的思科安全访问控制面板。
• 以管理员身份访问Azure。
• 用户调配已完成Cisco Secure Access。 

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科安全访问控制面板。
• Microsoft Azure门户。
• 思科安全客户端AnyConnect VPN版本5.1.8.105

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

Azure配置

1.登录思科安全访问控制面板并复制VPN全局FQDN。我们在Azure企业应用程序配置中使用此FQDN。 

    Connect > End User Connectivity > Virtual Private Network > FQDN > Global

VPN全局FQDN

2.登录到Azure并为RA VPN身份验证创建企业应用程序。您可以使用名为“Cisco安全防火墙 — 安全客户端（以前称为AnyConnect）身份验证”的预定义应用程序。

    主页>企业应用>新应用>思科安全防火墙 — 安全客户端（以前称为AnyConnect）身份验证>创建

在Azure中创建应用

3.重命名应用程序。
    Properties > Name

重命名应用程序

4.在企业应用中，分配用户允许使用AnyConnect VPN进行身份验证。
    分配用户和组> +添加用户/组>分配

分配的用户/组

5.单击单点登录并配置SAML参数。此处我们使用步骤1中复制的FQDN，以及您在第2步后面的“配置Cisco安全访问”中配置的VPN配置文件名称。

例如，如果您的VPN全局FQDN为example1.vpn.sse.cisco.com，而您的思科安全访问VPN配置文件名称为VPN_EntraID，则（实体ID）和回复URL（断言消费者服务URL）的值如下：

标识符（实体ID）：https://example1.vpn.sse.cisco.com/saml/sp/metadata/VPN_EntraID
回复URL（断言消费者服务URL）：https://example1.vpn.sse.cisco.com/+CSCOE+/saml/sp/acs?tgname=VPN_EntraID

Azure中的SAML参数

6.下载联合元数据XML。

思科安全访问配置

1.登录您的Cisco Secure Access控制面板，并添加IP池。

    Connect > End User Connectivity > Virtual Private Network > Add IP Pool

地区：选择要部署RA VPN的区域。
显示姓名：VPN IP池的名称。
DNS 服务器连接后，创建或分配用户用于进行DNS解析的DNS服务器。
系统IP池：Secure Access使用诸如Radius身份验证等功能，身份验证请求来自此范围内的IP。
IP池：添加新的IP池，并指定用户连接到RA VPN后获得的IP。

添加VPN配置文件

IP池配置 — 第1部分

IP池配置 — 第2部分

2.添加VPN配置文件。 

    Connect > End User Connectivity > Virtual Private Network > + VPN配置文件

常规设置

注意：注意：VPN配置文件的名称必须与您在步骤5中的“配置Azure”中配置的名称匹配。在此配置指南中，我们使用VPN_EntraID，因此我们将在思科安全访问中配置与VPN配置文件名称相同的名称。

VPN配置文件名称：此VPN配置文件的名称，仅在控制面板中可见。

显示姓名：命名最终用户在“Secure Client - Anyconnect”下拉菜单上看到的连接到此RA VPN配置文件时，请参阅。 
默认域:域用户一旦连接到VPN。
DNS Servers :DNS服务器VPN用户连接到VPN后即可访问。
    指定的区域：使用与VPN IP池关联的DNS服务器。
    指定的自定义：您可以手动分配所需的DNS。
IP 池:用户连接到VPN后分配的IP。
配置文件设置：要包括此VPN配置文件用于机器隧道或包括区域FQDN，以便最终用户选择想要连接到的区域（受所部署的IP池的制约）。
协议：选择希望VPN用户用于流量隧道的协议。
连接时间状态（可选）：如果需要，请在连接时执行VPN状态。更多信息请点击此处 

VPN配置文件配置 — 第1部分

VPN配置文件配置 — 第2部分

验证、授权和记帐

协议：选择SAML。

使用CA证书的身份验证:如果您想要使用SSL证书进行身份验证并根据IdP SAML提供程序进行授权。
强制重新身份验证：每当建立VPN连接时都会强制重新进行身份验证。强制重新身份验证基于会话超时。这可以接受SAML IdP设置（本例中为Azure）。

上传在步骤6的“配置Azure”中下载的XML文件联合元数据的XML文件。

SAML配置

流量引导（分割隧道）

通道模式:
    连接到安全访问：所有流量通过隧道(Tunnel All)发送。
    绕过安全访问：仅在例外情况部分中定义的特定流量通过隧道传输（拆分隧道）。
DNS模式：
    默认DNS:所有DNS查询都通过VPN配置文件定义的DNS服务器。如果出现否定响应，DNS查询还可以转到物理适配器上配置的DNS服务器。
    所有DNS隧道：通过VPN隧道传输所有DNS查询。
    Split DNS:只有特定的DNS查询会通过VPN配置文件，具体取决于下面指定的域。

流量引导配置

思科安全客户端配置
出于本指南的目的，我们不配置任何这些高级设置。可在此处配置高级功能，例如：TND、永远在线、证书匹配、本地Lan访问等。请在此处保存设置。 

高级设置

3.您的VPN配置文件必须如下所示。您可以将xml配置文件下载并预部署给最终用户(在“C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile”下)，以开始使用VPN，或向他们提供要在Cisco Secure Client - AnyConnect VPN UI中输入的配置文件URL。

全局FQDN和配置文件URL

验证

此时，您的RA VPN配置必须准备好进行测试。
请注意，用户首次连接时，需要为其提供配置文件URL地址或在其个人电脑中预部署“C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile”下的xml配置文件，重新启动VPN服务，并且他们必须在下拉菜单中看到连接到此VPN配置文件的选项。

在本例中，我们为首次连接尝试的用户提供配置文件URL地址。

在第一个连接之前：

以前的VPN连接

输入您的凭证并连接到VPN:

已连接到VPN

首次连接后，从下拉菜单中，您必须现在看到连接到“VPN - Lab”VPN配置文件的选项：

在第一个VPN连接之后

签入用户能够连接的远程访问日志：

Monitor > Remote Access Log

登录思科安全访问

故障排除

下面介绍了可针对一些常见问题执行的基本故障排除：

Azure

在Azure中，确保已将用户分配到为根据思科安全访问进行身份验证而创建的企业应用：

    主页(Home)>企业应用(Enterprise Applications)>思科安全访问RA VPN(Cisco Secure Access RA VPN)>管理(Manage)>用户和组(Users and Groups)

验证用户分配

思科安全访问

在Cisco Secure Access中，请确保已调配允许通过RA VPN连接的用户，并且Cisco Secure Access中调配的用户（在用户、组和终端设备下）与Azure中的用户（在企业应用中分配的用户）匹配。

    Connect > Users、Groups和Endpoint Devices

思科安全访问中的用户

按照“验证”步骤中的说明，验证已在PC上为用户调配了正确的XML文件，或已为该用户提供了配置文件URL。

    Connect > End User Connectivity > Virtual Private Network 

配置文件URL和.xml配置文件