调配用户和组以通过DUO保护访问
简介
本文档介绍如何将用户和组从Cisco DUO调配到Cisco Secure Access。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科安全访问
- 思科DUO
使用的组件
本文档不限于特定的软件和硬件版本。
- 管理员对思科安全访问控制面板的访问权限
- 管理员以管理员身份访问Cisco DUO控制面板
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Cisco Secure Access支持从DUO调配用户和组。
此调配使Secure Access能够维护授权以下用户的目录:
- 注册零信任访问(ZTA)。
- 连接到VPNaaS。
- 将基于身份的策略应用于Umbrella漫游用户。
注意:本文档专门介绍如何从DUO调配用户和组。为ZTA注册、VPNaaS身份验证或特定Umbrella漫游设置配置Entra ID或其他身份提供程序(IdP)不属于本指南的范围。
配置
配置思科安全访问
要开始调配流程,您必须首先在Cisco Secure Access控制面板中配置目录集成。此步骤生成与Microsoft Entra ID建立安全连接所需的必要凭证和配置参数。
- 登录思科安全访问控制面板.
登录到CSA - 导航到Connect > Users, Groups and Endpoint Devices。
用户和组 - 单击Configuration management。
配置管理 - 单击集成目录。
Integrate Directory - 在Provision Method下,单击Identity Provider。
- IdP目录名称:DUO集成。
- 选择Identity Provider(IdP):DUO.
- 单击 Next。
目录配置
- 单击Generate token。保存生成的令牌和调配URL,然后单击Done。
DUO令牌
在Cisco DUO中配置调配
在Cisco Secure Access控制面板中生成凭证后,必须在Cisco DUO租户中配置调配设置,以启用用户和组的同步。
- 登录到DUO。
DUO登录 - 导航到应用>应用。
DUO应用程序 - 单击Add application。
DUO Add App - 查找Cisco Secure Access,然后单击Add。
添加CSA应用 - 单击Provisioning。输入Tenant URL和Secret Token,这些令牌是从安全访问配置的步骤#6保存的,然后单击Connect to Application。
API Connect App - 在同一Provisioning选项卡下,向下滚动到Attribute mapping,并确保您的属性按此特定顺序显示。
DUO映射 - 在同一Provisioning选项卡下,向下滚动到Groups,并分配要同步到Secure Access的组。
调配组
注意:如果用户未按正确格式调配到安全访问,请确保按此处所述配置属性映射。
验证
思科安全访问中的真实性
- 导航到Connect > Users, Groups and Endpoint Devices。
Users and Groups in CSA - 单击Users。
Verity Users in CSA - 单击Groups and Organizational Units。
Verify Group in CSA
在DUO中验证
- 导航到报告>活动日志。
DUO Activity Log
- 根据应用的名称进行过滤。
DUO调配日志
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
11-May-2026
|
初始版本 |
反馈