Konfigurieren von Cisco Secure Firewall – Secure Client für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie Cisco Secure Firewall – Secure Client mit Microsoft Entra ID integrieren. Die Integration von Cisco Secure Firewall – Secure Client in Microsoft Entra ID ermöglicht Folgendes:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf Cisco Secure Firewall – Secure Client hat.
• Ermöglichen Sie es Ihren Benutzer, sich mit ihren Microsoft Entra-Konten automatisch bei Cisco Secure Firewall – Secure Client anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein Abonnement für Cisco Secure Firewall – Secure Client, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

• Cisco Secure Firewall – Secure Client unterstützt nur IDP-initiiertes SSO .

Hinzufügen von Cisco Secure Firewall – Secure Client aus dem Katalog

Zum Konfigurieren der Integration von Cisco Secure Firewall – Secure Client in Microsoft Entra ID müssen Sie Cisco Secure Firewall – Secure Client aus dem Katalog zu Ihrer Liste mit den verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Hinzufügen aus dem Katalog im Suchfeld „Cisco Secure Firewall - Secure Client“ ein.
4. Wählen Sie Cisco Secure Firewall – Secure Client aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für Cisco Secure Firewall – Secure Client

Konfigurieren und Testen von Microsoft Entra SSO mit Cisco Secure Firewall – Secure Client mithilfe eines Testbenutzers namens B.Simon. Damit einmaliges Anmelden funktioniert, müssen Sie eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem zugehörigen Benutzer in Cisco Secure Firewall – Secure Client einrichten.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit Cisco Secure Firewall – Secure Client die folgenden Schritte aus:

1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.
2. Konfigurieren Sie Cisco Secure Firewall – Secure Client SSO – zum Konfigurieren der Einstellungen für einmaliges Anmelden auf Anwendungsseite.
   1. Erstellen Sie Cisco Secure Firewall - Secure Client-Testbenutzer - um ein Gegenstück von B.Simon in Cisco Secure Firewall zu haben - Secure Client, der mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra IDEnterprise-AppsCisco Secure Firewall - Secure ClientEinmaliges Anmelden.

3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

4. Wählen Sie auf der Seite „Einmaliges Anmelden mit SAML einrichten“ das Symbol „Bearbeiten/Stift“ für die Basis-SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Geben Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " die Werte für die folgenden Felder ein:

   1. Geben Sie im Textfeld Bezeichner eine URL mit dem folgenden Muster ein:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

   2. Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

   Hinweis

   Für <Tunnel_Group_Name> ist Groß-/Kleinschreibung zu beachten, und der Wert darf weder Punkte „.“ noch Schrägstriche „/“ enthalten.

   Hinweis

   Wenden Sie sich an den Cisco TAC-Support, um weitere Informationen zu diesen Werten zu erfragen. Aktualisieren Sie diese Werte mit dem von Cisco TAC bereitgestellten tatsächlichen Bezeichner und der Antwort-URL. Wenden Sie sich an das Cisco Secure Firewall - Secure Client-Supportteam , um diese Werte zu erhalten. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

6. Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten" im Abschnitt "SAML-Signaturzertifikat" das Zertifikat (Base64) und wählen Sie "Herunterladen" aus, um die Zertifikatdatei herunterzuladen und auf Ihrem Computer zu speichern.

   

7. Im Abschnitt "Cisco Secure Firewall - Secure Client, kopieren Sie die entsprechenden URLs basierend auf Ihren Anforderungen.

   

Hinweis

Wenn Sie das Onboarding für mehrere TGTs des Servers durchführen möchten, müssen Sie mehrere Instanzen der Anwendung „Cisco Secure Firewall – Secure Client“ aus dem Katalog hinzufügen. Sie können auch Ihr eigenes Zertifikat für alle diese Anwendungsinstanzen in Azure AD hochladen. Auf diese Weise können Sie das gleiche Zertifikat für die Anwendungen verwenden, aber für jede Anwendung eine andere ID und Antwort-URL konfigurieren.

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Richtlinien im Erstellen und Zuweisen eines Benutzerkontos Schnellstart, um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für Cisco Secure Firewall – Secure Client

1. Sie werden dies zuerst auf der CLI tun, sie können zurückkehren und ein ASDM-Walk-Through zu einem anderen Zeitpunkt durchführen.

2. Stellen Sie eine Verbindung zu Ihrer VPN-Appliance her, da Sie einen ASA im 9.8 Code-Train verwenden werden und Ihre VPN-Clients Version 4.6 oder höher sind.

3. Zuerst erstellen Sie einen Trustpoint und importieren unser SAML-Zertifikat.

    config t
   
    crypto ca trustpoint AzureAD-AC-SAML
      revocation-check none
      no id-usage
      enrollment terminal
      no ca-check
    crypto ca authenticate AzureAD-AC-SAML
    -----BEGIN CERTIFICATE-----
    …
    PEM Certificate Text from download goes here
    …
    -----END CERTIFICATE-----
    quit
   

4. Mit den folgenden Befehlen wird der SAML-Identitätsanbieter bereitgestellt:

    webvpn
    saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
    url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
    url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
    trustpoint idp AzureAD-AC-SAML
    trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
    no force re-authentication
    no signature
    base-url https://my.asa.com
   

5. Nun können Sie die SAML-Authentifizierung auf eine VPN-Tunnelkonfiguration anwenden.

   tunnel-group AC-SAML webvpn-attributes
      saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
      authentication saml
   end
   
    write mem
   

   Hinweis

   Es gibt eine Umgehungslösung für die SAML IdP-Konfiguration. Wenn Sie Änderungen an der IdP-Konfiguration vornehmen, müssen Sie die SAML-Identitätsanbieterkonfiguration aus der Tunnelgruppe entfernen und erneut anwenden, damit die Änderungen übernommen werden.

Erstellen eines Testbenutzers für Cisco Secure Firewall – Secure Client

In diesem Abschnitt erstellen Sie in Cisco Secure Firewall – Secure Client eine Benutzerin mit dem Namen Britta Simon. Arbeiten Sie mit cisco Secure Firewall - Secure Client Support Team , um die Benutzer in der Cisco Secure Firewall - Secure Client-Plattform hinzuzufügen. Benutzer müssen erstellt und aktiviert werden, damit Sie einmaliges Anmelden verwenden können.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

• Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei der Cisco Secure Firewall angemeldet sein – Secure Client, für den Sie das SSO einrichten
• Sie können den Microsoft-Zugriffsbereich verwenden. Wenn Sie die Kachel Cisco Secure Firewall - Secure Client im Access Panel auswählen, sollten Sie automatisch bei dem Cisco Secure Firewall - Secure Client angemeldet sein, für den Sie das SSO eingerichtet haben. Weitere Informationen zur Access-Systemsteuerung finden Sie in der Einführung in die Access-Systemsteuerung.

Verwandte Inhalte

Nach dem Konfigurieren von Cisco Secure Firewall – Secure Client können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.