配置外部身份验证

启用外部身份验证后,身份验证将交由外部系统处理。当前的身份验证选项包括轻量级目录访问协议 (LDAP) 以及单点登录 (SSO)。这意味着启用此功能后,所有登录用户都将使用所选机制进行身份验证。确定 LDAP 连接配置是否正确非常重要,尤其是在“使用本地身份验证”选项上没有用户的情况下。建议的方法是,通过打开“使用本地身份验证”(Use Local Authentication) 选项 ,让至少一个本地身份验证用户拥有站点管理员凭证。此用户可以确保 LDAP 配置的设置正确无误。成功设置连接后,还可以通过取消选中用户编辑流程中的“使用本地身份验证”(Use Local Authentication) 选项来将此用户转换为外部身份验证。

站点管理员可以启用更多调试消息,而这些消息对于调试外部连接问题、用户登录失败等非常有用。这可以通过选中“外部身份验证调试”(External Auth Debug) 选项来启用。启用此选项后,更多描述性日志消息将被写入名为“external_auth_debug.log”的单独日志文件。建议在调试完成后关闭“外部身份验证调试”(External Auth Debug),以防止将额外日志写入日志文件。


Note

按照“使用本地身份验证”选项中的指明,按用户启用外部身份验证后,即可绕过外部身份验证。启用外部身份验证时,也可通过警告消息中的链接进入用户编辑流程,启用该选项。

如果启用了联合,则建议使用 SSO 外部身份验证。在导航栏中,选择平台 > 外部身份验证


Note

自 Cisco Secure Workload 3.7.1.5 及更高版本起,外部身份验证会话超时时间从 6 小时延长至 9 小时。此设置仅适用于外部身份验证或本地身份验证。

站点管理员客户支持均可配置外部身份验证。请注意,只有站点管理员才能生成恢复代码,如果启用了外部身份验证,则不支持恢复代码生成。

Figure 1. 配置外部身份验证

Note

  • 每位管理员用户可获取 6 个恢复码供下载。管理员用户登录后需下载这些恢复码。

  • 登录时,恢复码需与用户名配合使用。在密码栏输入恢复码。

  • 使用用户名和恢复码作为密码登录后,用户将跳转至密码重置页面设置新密码。请注意,已使用的恢复码无法再次登录。

  • 建议用户在恢复码用尽前重新生成。
Figure 2. 配置外部身份验证(续)
配置外部身份验证(续)
Figure 3. 配置外部身份验证(续)
配置外部身份验证(续)
Figure 4. 外部身份验证警告
外部身份验证警告

“使用本地身份验证”选项

完成配置后,站点管理员可允许用户绕过外部身份验证。可在用户编辑模块中,为单个用户启用使用本地身份验证选项来实现该功能。为用户启用该选项后,该用户的所有活跃会话将被注销。

Figure 5. 使用本地身份验证
使用本地身份验证

Warning

确保至少一位用户具有本地身份验证访问权限!

如果为某个用户删除了“(Use Local Authentication) 使用本地身份验证”选项(即取消选中),并且此用户恰好是使用该选项的最后一个用户,则没有用户具有登录到 Cisco Secure Workload 的本地身份验证访问权限。这意味着,如果外部身份验证系统出现任何中断(如配置问题、连接问题等),任何用户都无法登录。如果尝试删除最后一个经过本地身份验证用户,则会看到一条警告。

通过外部身份验证进行日志记录的用户的会话较短,当会话到期时,系统会提示用户进行登录。通过外部身份验证登录的用户无法在站点上重置密码(必须在公司网站上重置)。但是,如果为用户设置了“使用本地身份验证”(Use Local Authentication) 标志,则可以重置密码。

出站 HTTP 连接

为确保从思科云检索最新的威胁智能数据集,强烈建议您设置出站 HTTP 连接。


Warning

除了设置如下所示的 HTTP 代理之外,您的企业出站 HTTP 请求可能需要允许来自企业防火墙出站规则的流量发往 periscope.tetrationcloud.comuas.tetrationcloud.com

peri scope.tetrationcloud.com 的 TLS 连接将被用于传输威胁智能数据,以识别已知漏洞。因此,思科 Cisco Secure Workload 必须根据 Cisco Secure Workload 中包含的信誉良好的根 CA 证书来验证域的 X.509 证书的签名 CA 证书,从而验证域名的真实性。篡改 X.509 信任链会导致该功能无法正常工作。

Figure 6. 出站 HTTP 连接
出站 HTTP 连接

站点管理员客户支持用户可以访问出站 HTTP 设置。在左侧的导航栏中,点击平台 (Platform) > 出站 HTTP (Outbound HTTP)

字段

说明

状态 (Status)

指明 Cisco Secure Workload 设备是否可以访问 Cisco Secure Workload 云以检索威胁智能数据集更新。可以通过点击刷新按钮来重新触发状态检查。以下 HTTP 代理设置可用于根据 Cisco Secure Workload 部署配置 HTTP 代理设置。

启用 HTTP 代理 (Enable HTTP Proxy)

如果启用此选项,所有外部 HTTP 连接都会使用 HTTP 代理

主机 (Host)

HTTP 代理主机地址

端口 (Port)

HTTP 代理端口号

用户名 (Username)

仅当 HTTP 代理服务器使用基本身份验证时才需要

密码 (password)

仅当 HTTP 代理服务器使用基本身份验证时才需要

配置轻量级目录访问协议

选择轻量级目录访问协议 (LDAP) 选项对用户进行身份验证。这意味着,启用此功能后,所有用户都将注销,后续登录将使用其 LDAP 电子邮件和密码进行身份验证。

如果启用了“联合”,目前不建议将 LDAP 作为身份验证机制。

如果启用了 LDAP,建议创建新用户的工作流程如下。

鼓励站点管理员首先使用其邮件创建新用户,并在新用户首次通过 LDAP 登录之前,使用配置 LDAP 授权(AD 授权)来分配适当的角色。如果新用户通过 LDAP 登录时没有相应的角色,则不会为该用户分配默认角色。

Figure 7. 配置轻量级目录访问协议

字段

说明

自动创建用户 (Auto Create Users)

启用“自动创建用户” (Auto Create Users) 后,系统将创建首次登录时不存在的用户。这样,站点管理员就不必在允许用户登录之前预调配用户。如果应将 Cisco Secure Workload 访问权限限制为在“用户”(Users) 页面上手动创建的用户,则应关闭此选项。

主机 (Host)

将用于身份验证的 LDAP 主机。

端口 (Port)

将用于身份验证的 LDAP 端口。

邮件属性 (Email Attribute)

LDAP 外部身份验证配置中的属性字段,支持以英文逗号分隔的取值。该配置支持在身份验证过程中,将多个 LDAP 属性作为筛选条件。

Note

 

若 LDAP 数据库中的用户以 samAccountName 作为用户名,属性字段中必须包含 samAccountName,才能完成正常的用户身份验证。

基本 (Base)

用于搜索用户的 LDAP 基本 DN。

SSL

启用加密并使用“ldaps://”。

SSL 验证 (SSL Verify)

根据服务器证书验证服务器的 SSL 属性,如完全限定域名 (FQDN)。

SSL 证书颁发机构证书 (SSL Certificate Authority Cert)

LDAP 服务器的 SSL 证书的签名证书。如果服务器证书链无法公开验证,则此字段为必填。

管理员用户 (Admin User)

用于与 LDAP 服务器绑定的 LDAP 管理员用户(而非 Cisco Secure Workload 用户)名称。例如:[User]@[Domain] 或 [Domain]\[User]

管理员密码 (Admin Password)

用于与 LDAP 服务器绑定的 LDAP 管理员密码。

Ldap 授权 (Ldap Authorization)

可以按照配置 LDAP 授权(AD 授权)中的说明来启用和配置 LDAP 授权。


Note

如果没有 SMTP 服务器配置,站点管理员将无法使用其邮件对用户进行身份验证,因为在不配置 SMTP 服务器的情况下,基于邮件的身份验证会受到影响。

启用 LDAP 配置后,除启用了“使用本地身份验证”(Use Local Authentication) 选项的用户之外,所有用户都将从其会话中注销。

点击保存 (Save) 按钮后,即可保存 LDAP 配置。建议您在成功保存 LDAP 配置后等待一分钟,然后再尝试测试 LDAP 连接。

保存 LDAP 配置后,可以使用测试连接 (Test Connection) 按钮测试 LDAP 连接。这将尝试使用输入的管理员凭证与 LDAP 服务器进行绑定。

Figure 8. 身份验证工作流程
身份验证工作流程

对 LDAP 问题进行故障排除

如果在测试 ldap 连接时发生错误,请检查以下内容:

  • 检查 LDAP 管理员凭证是否正确。

  • 检查连接参数,例如主机、端口、SSL 等。

  • 检查是否可以从 Cisco Secure Workload UI VIP 访问 LDAP 服务器。

  • 检查 AD 服务器是否已启动。

  • “ldapsearch”等命令行工具与连接详细信息一起使用,以查看是否可以进行绑定。

如果用户登录时出现错误,请检查以下内容:

  • 检查用户能否使用 LDAP 凭证登录使用 LDAP 身份验证的其他公司网站。

  • 检查公司 LDAP 设置中指定的“基本”dn 是否正确。这可以通过使用“ldapsearch”等命令行工具根据基本 DN 查找用户来完成。

通过邮件搜索用户的“ldapsearch”查询示例:

ldapsearch -H "ldap://<host>:<port>" -b "<base-dn>" -D "<ldap-admin-user>" -w <ldap->admin-password> "(mail=<users-email-address>)"

配置 LDAP 授权(AD 授权)

可以通过启用外部身份验证 LDAP 配置的“管理员凭证”(Admin Credentials) 部分中的“LDAP 授权”(LDAP Authorization) 复选框来配置 Active Directory 授权。启用此设置后,站点管理员必须设置 LDAP ‘MemberOf’ 组到以下部分中的 Cisco Secure Workload 角色的映射。默认情况下,如果没有此配置,则必须在尝试登录之前为 Active Directory 用户预配置一个或多个 Cisco Secure Workload 角色。

如果已启用 LDAP 外部身份验证,则必须设置 LDAP MemberOf 组到 Cisco Secure Workload 角色的映射。“创建映射”允许设置要映射到 Cisco Secure Workload 角色的 LDAP MemberOf 组值。角色下拉列表中的角色是根据在范围选择器中选择的范围预先填充的。一旦保存了这些映射,所有用户在以后登录时都会根据这些值获得授权。

这些映射可以重新排序、编辑或删除。对映射的任何修改都将反映在用户以后登录时分配给他们的角色上。最多可以创建 50 个 LDAP MemberOf 组到 Cisco Secure Workload 角色的映射。

不允许重复的 LDAP MemberOf 组名称。但多个 LDAP MemberOf 组可以映射到同一角色。如果多个组映射到同一角色,则最后一个映射将作为与 Cisco Secure Workload 角色匹配的 LDAP MemberOf 存储在用户中。

Figure 9. LDAP 组至 Cisco Secure Workload 角色设置
LDAP 组到 Cisco Secure Workload 角色设置
Figure 10. LDAP 组到 Cisco Secure Workload 角色的映射
LDAP 组到 Cisco Secure Workload 角色映射

网站管理员用户可以根据上述角色映射,借助从用户上次成功登录时获得的外部用户信息来协调角色分配。


Note

按照“使用本地身份验证”(Use Local Authentication) 选项中的指明,按用户启用外部身份验证后,用户即可绕过外部身份验证。这些用户还将绕过为 AD 授权设置的授权流程。

Figure 11. 外部用户信息
外部用户信息

启用授权后,将不允许在用户创建流 (添加用户) 和用户编辑流(编辑用户帐户)中手动选择 Cisco Secure Workload 角色。

Figure 12. “用户”(User) 页面
“用户”(User) 页面

映射到 Cisco Secure Workload 角色的 LDAP MemberOf 组会显示在用户配置文件页面上。

Figure 13. “用户配置文件”(User Profile) 页面
“用户配置文件”(User Profile) 页面
Figure 14. 授权工作流程
授权工作流程

如果启用 LDAP 授权,则通过 API 密钥对 OpenAPI 的无缝访问将停止,因为当用户会话终止后,就会从 LDAP MemberOf 组派生的 Cisco Secure Workload 角色重新评估。因此,为确保 OpenAPI 访问不会中断,建议拥有 API 密钥的用户启用“使用本地身份验证”(Use Local Authentication) 选项

Figure 15. LDAP 授权 API 密钥警告
LDAP 授权 API 密钥警告
Figure 16. “用户”(Users) 页面上的 LDAP 授权 API 密钥警告
“用户”(Users) 页面上的 LDAP 授权 API 密钥警告

对 LDAP 授权问题进行故障排除

如果角色没有根据“外部身份验证”、“LDAP 组到角色映射 ”部分中定义的映射分配给用户,请再次检查角色映射的设置和格式。

  • 组字符串必须为字符串格式。例如:CN=group.jacpang,OU=Organizational,OU=Cisco Groups,DC=stage,DC=cisco,DC=com

  • 组名必须与 AD 中的组名完全一致,并且不能有空格或多余字符。

  • 必须从角色选择器中选择组的角色映射。

用户角色映射调试步骤

  • 您必须有两个用户,一个是站点管理员,此用户的邮件地址不应与 AD 用户相同。

  • 在以下步骤中,此用户称为“SA 用户”。

    • 如前所述,SA 用户已在“公司”(Company) 页面的“外部验证配置”(External Auth Config) 中设置了角色映射配置。假设“SA 用户”将使用 [site-admin]@[Domain] 登录。

    • 我们假设“AD 用户”为 [ad-user]@[Domain]。我们假设 LDAP 设置已完成,AD 用户可以登录,但无法获得分配的角色。

  • 使用隐身浏览器会话作为 AD 用户登录。这会将浏览器状态从 SA 用户会话中分离出来。

  • 以 SA 用户身份登录并转到“用户”(Users) 页面。

  • 点击必须配置角色映射的 AD 用户的编辑图标。

  • 点击“用户配置文件”(User Profile) 页面上的“外部用户配置文件”(External User Profile) 按钮。

  • 您将看到一个包含“memberof”部分的外部身份验证配置文件表。

  • 这是可用于“公司”(Company) 页面、“外部身份验证配置”(External Auth Config)、“LDAP 组到角色映射”(LDAP Group to Role-Mapping) 部分上的角色映射的“memberof”值之一。

  • 您必须提供完整的“memberof”每行字符串进行匹配。创建角色映射后,拥有相同属性“memberof”的任何人都会被分配到映射的角色。

  • 要授予 AD 用户新映射的角色,用户需要注销,然后重新登录,以便重新评估该映射配置文件。

  • 用户登录并具有由于组角色映射而成功分配的角色后,匹配规则将在该用户的“首选项”(Preferences) 页面上可见。

配置单点登录

如果选择了此选项,则可使用单点登录 (SSO) 来验证用户身份。这意味着启用该功能后,所有用户都将被重定向到身份提供者登录页面进行身份验证。启用“使用本地身份验证”(Use Local Authentication) 选项的用户可以使用登录页面中的邮箱和密码登录表单进行身份验证。

确定 SSO 配置是否设置正确非常重要,尤其是在“使用本地身份验证”(Use Local Authentication) 选项上没有用户的情况下。建议的方法是,通过打开“使用本地身份验证”(Use Local Authentication) 选项 ,让至少一个本地身份验证用户拥有站点管理员凭证。此用户可以确保 SSO 配置设置正确。成功设置连接后,还可以通过取消选中用户编辑流程中的“使用本地身份验证”(Use Local Authentication) 选项,将此用户转换为外部身份验证。

如果启用了 SSO,建议创建新用户的工作流程如下。

我们鼓励站点管理员范围所有者首先使用其邮件地址创建新用户,并在新用户首次通过 SSO 登录之前分配适当的角色和范围。如果新用户使用 SSO 登录时没有相应的角色,则不会为该用户分配默认角色。


Note

如果不配置 SMTP 服务器,发送依赖电子邮件通信的密码重置指令将受到影响。

下表介绍为了在 Cisco Secure Workload上配置 SSO 而必须设置的字段。在本例中,Cisco Secure Workload 是运营商。

Figure 17. 配置单点登录
配置单点登录

字段

说明

SSO Target Url

用户登录时将被重定向到的 SSO IdP 目标 URL。

SSO Issuer

您的 SP 的 SSO 实体 ID,用于唯一标识您的 SP 的 URL。这通常是 SP 的元数据。在本例中为: 
https://<tetration-cluster-fqdn>/h4_users/saml/metadata

SSO Certificate

由身份提供者 (IdP) 提供的 SSO 证书。

SSO AuthN Context

在 SAML 请求中指定的 SSO AuthN 情景的选项。默认选项为“受密码保护的传输”(Password Protected Transport)。对于 Windows 和基于 PIV 的身份验证,其他选项包括“集成 Windows 身份验证”(Integrated Windows Authentication) 和“X.509 证书”(X.509 Certificate)。

启用 SSO 配置后,除已启用“使用本地身份验证”(Use Local Authentication) 选项的用户之外,所有其他用户都将从其会话中注销。

点击保存 (Save) 按钮后,系统会保存 SSO 配置。

Figure 18. 身份验证工作流程
身份验证工作流程

与身份提供者 (IdP) 共享的信息

IdP 需要来自 Cisco Secure Workload (SP) 的一些信息来设置 SSO,以便进行身份验证。下表描述了必须设置的字段。

字段

说明

SSO Url

用于接收 SAML 断言(来自 IdP 的响应)的身份验证终端 (url)。在我们的示例中,它将是: 
https://<tetration-cluster-fqdn>/h4_users/saml/auth

Entity Id

这是 SP 的元数据。在本例中为: 
https://<tetration-cluster-fqdn>/ h4_users/saml/metadata

Name ID format

NameId 是邮箱,即


'urn:oasis:names:tc:SAML:1. 1:nameid-format:emailAddress'

Attributes

从 IDP 获取用户属性。我们在身份验证过程中获取这些属性:

  • email

  • firstName

  • lastName

确保属性名称与之前指定的名称相同。

排除 SSO 问题

  • 为此 SSO 配置设置设置一些停机时间,因为(从运营商)验证身份验证是否有效的唯一方法是在设置之后进行。

  • 检查并验证生成的 IdP 元数据。

  • 检查 IdP 与 SP 之间交换的所有配置参数。

    • IdP 上的配置 - SSO URL、受众、名称 ID、属性等

    • Cisco Secure Workload 公司页面上的配置 - SSO 目标 URL、SSO 颁发者和 SSO 证书。

  • 从服务器应用日志中获取从 IdP 返回的示例 SAML 断言。根据 SAML 验证器对其进行验证,以确保其是有效的 SAML 响应。

  • 运营商 SSO 设置中的错误可能会导致从 IdP 生成错误。通过使用浏览器检查元素,您可以查看正在发出的网络请求。

  • 如果用户在登录时遇到问题,请让 IdP 管理员检查该用户是否有权访问 Cisco Secure Workload 应用。

SSL 证书和密钥

要启用对 Cisco Secure Workload UI 的完全可验证的 HTTPS 访问,可将 UI 域名专用的 SSL 证书和与 SSL 证书公钥匹配的 RSA 私钥上传到集群。

SSL 证书有两种获取方式,取决于用于引用 Cisco Secure Workload UI 虚拟 IP (VIP) 地址的完全合格域名 (FQDN) 的格式。如果 Cisco Secure Workload FQDN 基于企业域名(例如 tetration.cisco.com),则拥有该基本域的企业证书颁发机构 (CA) 会向您颁发一个 SSL 证书。否则,您可以使用信誉良好的 SSL 证书供应商为您的 FQDN 颁发 SSL 证书。


Note

值得注意的是,虽然 Cisco Secure Workload UI 支持服务器名称指示 (SNI),但证书中指定的主题替代名称 (SAN) 将无法匹配。例如,如果证书的通用名 (CN) 是 tetration.cisco.com,而证书中包含一个 tetration1.cisco.com 的 SAN,那么使用不兼容的浏览器向以 tetration1.cisco.com 为主机名的集群发送的 HTTPS 请求将无法通过该证书获得服务。以 CN 以外的主机名向集群发送的 HTTPS 请求,将使用集群上安装的默认自签名证书。这些请求会导致浏览器警告。

站点管理员客户支持用户可以使用 SSL 证书。在导航窗格中,点击平台 > SSL 证书

用于主要升级版本和补丁的维护 UI 或设置已迁移到 HTTPS URL 架构。升级到 Cisco Secure Workload 版本后,管理员需要上传维护 UI的单独证书。

要导入证书和密钥,请点击导入新证书和密钥 (Import New Certificate and Key) 按钮。

如需生成签名请求,请点击生成新证书签名请求按钮。


Note

SSL 认证和私钥的首次导入应通过与集群的可信网络连接进行,这样私钥就不会被可访问传输层的恶意方截获。

输入 SSL 证书和密钥的以下信息:

NAME 可以是证书密钥对的任何名称。此名称有助于您查看安装的 SSL 证书。

X509 证书 (X509 Certificate) 字段接受隐私增强邮件 (PEM) 格式的 SSL 证书字符串。如果您的 SSL 证书需要中间 CA 捆绑包,请在证书之后连接 CA 捆绑包,以便让 Cisco Secure Workload FQDN 的 SSL 证书位于证书文件的开头。

其格式如下:

-----BEGIN CERTIFICATE-----

< Certificate for Cisco Secure Workload FQDN >

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

< Intermediary CA 1 content >

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

< Intermediary CA 2 content >

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

< Root CA content >

-----END CERTIFICATE-----

RSA 私钥 (RSA Private Key) 字段应该是在前一个证书中签名的公钥的 RSA 私钥。其格式如下:

-----BEGIN RSA PRIVATE KEY-----

< private key data >

-----END RSA PRIVATE KEY-----


Note

RSA 私钥必须未加密。如果 RSA 私钥已加密,则会导致“500 内部服务器错误”。

导入后将执行验证步骤,以确保证书中签名的公钥和私钥确实是 RSA 密钥对。如果验证成功,我们将显示证书捆绑包的 SHA-1 摘要(SHA-1 签名和创建时间)。

重新加载浏览器,以查看与 Cisco Secure Workload UI 的 SSL 连接现在正在使用新导入的 SSL 证书。