Kurz: Integrace jednotného přihlašování (SSO) Azure Active Directory s Cisco AnyConnect

V tomto kurzu se dozvíte, jak integrovat Cisco AnyConnect s Azure Active Directory (Azure AD). Když integrujete Cisco AnyConnect s Azure AD, můžete:

  • Řízení v Azure AD, kdo má přístup k Cisco AnyConnect.
  • Povolte uživatelům automatické přihlášení k Cisco AnyConnect pomocí svých účtů Azure AD.
  • Účty můžete spravovat v jednom centrálním umístění – v Azure Portal.

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Azure AD. Pokud nemáte předplatné, můžete získat bezplatný účet.
  • Předplatné s povoleným jednotným přihlašováním (SSO) Cisco AnyConnect.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete Azure AD jednotného přihlašování v testovacím prostředí.

  • Cisco AnyConnect podporuje jednotné přihlašování iniciované protokolem IDP .

Pokud chcete nakonfigurovat integraci Cisco AnyConnect do Azure AD, musíte přidat Cisco AnyConnect z galerie do seznamu spravovaných aplikací SaaS.

  1. Přihlaste se k Azure Portal pomocí pracovního nebo školního účtu nebo osobního účtu Microsoft.
  2. V levém navigačním podokně vyberte službu Azure Active Directory .
  3. Přejděte na Podnikové aplikace a pak vyberte Všechny aplikace.
  4. Pokud chcete přidat novou aplikaci, vyberte Nová aplikace.
  5. V části Přidat z galerie zadejte do vyhledávacího pole Cisco AnyConnect .
  6. Na panelu výsledků vyberte Cisco AnyConnect a přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Můžete také použít Průvodce App Configuration organizace. V tomto průvodci můžete přidat aplikaci do tenanta, přidat uživatele nebo skupiny do aplikace, přiřazovat role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Můžete také použít Průvodce App Configuration organizace. V tomto průvodci můžete přidat aplikaci do tenanta, přidat uživatele nebo skupiny do aplikace, přiřazovat role a také si projít konfiguraci jednotného přihlašování. Další informace o průvodcích O365 najdete tady.

Konfigurace a testování Azure AD jednotného přihlašování pro Cisco AnyConnect

Nakonfigurujte a otestujte Azure AD jednotné přihlašování s Cisco AnyConnect pomocí testovacího uživatele S názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Azure AD a souvisejícím uživatelem v Cisco AnyConnect.

Pokud chcete nakonfigurovat a otestovat Azure AD jednotného přihlašování pomocí Cisco AnyConnect, proveďte následující kroky:

  1. Nakonfigurujte Azure AD jednotné přihlašování – aby uživatelé mohli tuto funkci používat.
    1. Vytvořte testovacího uživatele Azure AD – otestujte Azure AD jednotné přihlašování pomocí B.Simona.
    2. Přiřazení Azure AD testovacího uživatele – aby B.Simon mohl používat Azure AD jednotné přihlašování.
  2. Konfigurace jednotného přihlašování Cisco AnyConnect – konfigurace nastavení jednotného přihlašování na straně aplikace
    1. Vytvoření testovacího uživatele Cisco AnyConnect – aby měl protějšek B.Simon v Cisco AnyConnect, který je propojený s Azure AD reprezentací uživatele.
  3. Otestujte jednotné přihlašování – ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování v Azure AD

Pokud chcete v Azure Portal povolit jednotné přihlašování Azure AD, postupujte podle těchto kroků.

  1. V Azure Portal na stránce integrace aplikace Cisco AnyConnectvyhledejte část Spravovat a vyberte jednotné přihlašování.

  2. Na stránce Vyberte metodu jednotného přihlašování vyberte SAML.

  3. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte na ikonu pro úpravy nebo pero pro základní konfiguraci SAML a upravte nastavení.

    Upravit základní konfiguraci SAML

  4. Na stránce Nastavit jednotné přihlašování pomocí SAML zadejte hodnoty pro následující pole (všimněte si, že v hodnotách se rozlišují malá a velká písmena):

    1. Do textového pole Identifikátor zadejte adresu URL pomocí následujícího vzoru:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

    2. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

    Poznámka

    Pokud chcete tyto hodnoty objasnit, kontaktujte podporu Cisco TAC. Aktualizujte tyto hodnoty skutečným identifikátorem a adresou URL odpovědi, které poskytuje Cisco TAC. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory pro klienty Cisco AnyConnect . Můžete se také podívat na vzory uvedené v části Základní konfigurace SAML v Azure Portal.

  5. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte certifikát (Base64) a výběrem možnosti Stáhnout stáhněte soubor certifikátu a uložte ho do počítače.

    Odkaz ke stažení certifikátu

  6. V části Set up Cisco AnyConnect (Nastavení Cisco AnyConnect ) zkopírujte příslušné adresy URL na základě vašich požadavků.

    Kopírování adres URL konfigurace

Poznámka

Pokud chcete nasadit několik TGT serveru, musíte z galerie přidat několik instancí aplikace Cisco AnyConnect. Můžete se také rozhodnout nahrát vlastní certifikát do Azure AD pro všechny tyto instance aplikací. Tímto způsobem můžete mít stejný certifikát pro aplikace, ale pro každou aplikaci můžete nakonfigurovat různé identifikátory a adresy URL odpovědi.

Vytvoření testovacího uživatele Azure AD

V této části vytvoříte testovacího uživatele v Azure Portal s názvem B.Simon.

  1. V levém podokně Azure Portal vyberte Azure Active Directory, vyberte Uživatelé a pak vyberte Všichni uživatelé.
  2. V horní části obrazovky vyberte Nový uživatel .
  3. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Název zadejte B.Simon.
    2. Do pole Uživatelské jméno zadejte username@companydomain.extension. Například, B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a pak si poznamenejte hodnotu, která se zobrazí v poli Heslo .
    4. Klikněte na Vytvořit.

Přiřazení testovacího uživatele Azure AD

V této části povolíte B.Simonovi používat jednotné přihlašování Azure tím, že udělíte přístup k Cisco AnyConnect.

  1. V Azure Portal vyberte Podnikové aplikace a pak vyberte Všechny aplikace.
  2. V seznamu aplikací vyberte Cisco AnyConnect.
  3. Na stránce přehledu aplikace najděte část Spravovat a vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele a pak vyberte Uživatelé a skupiny v dialogovém okně Přidat přiřazení .
  5. V dialogovém okně Uživatelé a skupiny vyberte v seznamu Uživatelé B.Simon a pak klikněte na tlačítko Vybrat v dolní části obrazovky.
  6. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci není nastavená žádná role, zobrazí se vybraná role Výchozí přístup.
  7. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování Cisco AnyConnect

  1. Nejdřív to uděláte v rozhraní příkazového řádku, možná se k tomu vrátíte a provedete si návod k ASDM jindy.

  2. Připojte se ke svému zařízení VPN, budete používat asa s trénovacím kódem 9.8 a klienti VPN budou mít verzi 4.6 nebo novější.

  3. Nejprve vytvoříte bod zabezpečení a naimportujete certifikát SAML.

     config t
    
     crypto ca trustpoint AzureAD-AC-SAML
       revocation-check none
       no id-usage
       enrollment terminal
       no ca-check
     crypto ca authenticate AzureAD-AC-SAML
     -----BEGIN CERTIFICATE-----
     …
     PEM Certificate Text from download goes here
     …
     -----END CERTIFICATE-----
     quit
    
  4. Zprostředkovatele identity SAML zřídíte pomocí následujících příkazů.

     webvpn
     saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco AnyConnect section in the Azure portal)
     url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco AnyConnect section in the Azure portal)
     url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco AnyConnect section in the Azure portal)
     trustpoint idp AzureAD-AC-SAML
     trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
     no force re-authentication
     no signature
     base-url https://my.asa.com
    
  5. Teď můžete použít ověřování SAML na konfiguraci tunelu VPN.

    tunnel-group AC-SAML webvpn-attributes
      saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
      authentication saml
    end
    
    write mem
    

    Poznámka

    Existuje alternativní řešení s konfigurací zprostředkovatele identity SAML. Pokud provedete změny v konfiguraci zprostředkovatele identity, musíte ze skupiny tunelů odebrat konfiguraci saml identity-provider a znovu ji použít, aby se změny staly účinnými.

Vytvoření testovacího uživatele Cisco AnyConnect

V této části vytvoříte uživatele s názvem Britta Simon v cisco AnyConnect. Ve spolupráci s týmem podpory Cisco AnyConnect přidejte uživatele na platformě Cisco AnyConnect. Před použitím jednotného přihlašování musí být uživatelé vytvořeni a aktivováni.

Testování jednotného přihlašování

V této části otestujete konfiguraci Azure AD jednotného přihlašování pomocí následujících možností.

  • Klikněte na Testovat tuto aplikaci v Azure Portal a měli byste být automaticky přihlášení k Cisco AnyConnect, pro které jste nastavili jednotné přihlašování.
  • Můžete použít Microsoft Přístupový panel. Když kliknete na dlaždici Cisco AnyConnect v Přístupový panel, měli byste být automaticky přihlášení k Cisco AnyConnect, pro které jste nastavili jednotné přihlašování. Další informace o Přístupový panel najdete v tématu Úvod do Přístupový panel.

Další kroky

Jakmile nakonfigurujete Cisco AnyConnect, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relace se rozšiřuje z podmíněného přístupu. Zjistěte, jak vynutit řízení relací pomocí Microsoft Defender for Cloud Apps.