チュートリアル: Microsoft Entra シングル サインオン (SSO) と Cisco AnyConnect の統合
このチュートリアルでは、Cisco AnyConnect を Microsoft Entra ID と統合する方法について学習します。 Cisco AnyConnect と Microsoft Entra ID を統合すると、次のことができます。
- Cisco AnyConnect にアクセスできるユーザーを Microsoft Entra ID で制御する。
- ユーザーが自分の Microsoft Entra アカウントを使用して Cisco AnyConnect に自動的にサインインできるようにする。
- 1 つの場所でアカウントを管理します。
前提条件
開始するには、次が必要です。
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- Cisco AnyConnect でのシングル サインオン (SSO) が有効なサブスクリプション。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。
- Cisco AnyConnect では、IDP Initiated SSO がサポートされます。
ギャラリーからの Cisco AnyConnect の追加
Microsoft Entra ID への Cisco AnyConnect の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に Cisco AnyConnect を追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
- [ギャラリーから追加する] セクションで、検索ボックスに「Cisco AnyConnect」と入力します。
- 結果のパネルから [Cisco AnyConnect] を選択し、そのアプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。
Cisco AnyConnect 用に Microsoft Entra SSO を構成してテストする
B.Simon というテスト ユーザーを使用して、Cisco AnyConnect に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと Cisco AnyConnect の関連ユーザーとの間にリンク関係を確立する必要があります。
Cisco AnyConnect で Microsoft Entra SSO を構成してテストするには、次の手順を行います。
- Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
- Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
- Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
- Cisco AnyConnect SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
- Cisco AnyConnect テスト ユーザーの作成 - Cisco AnyConnect で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
- SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
次の手順に従って Microsoft Entra SSO を有効にします。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Cisco AnyConnect]>[シングル サインオン] の順に移動します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の編集 (ペン) アイコンをクリックして設定を編集します。
[SAML でシングル サインオンをセットアップします] ページで、次のフィールドの値を入力します。
[識別子] ボックスに、次の形式で URL を入力します。
https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>
[応答 URL] ボックスに、次のパターンを使用して URL を入力します。
https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>
注意
<Tunnel_Group_Name>
には大文字と小文字の区別があり、値にドット "." とスラッシュ "/" を含めることはできません。注意
これらの値の詳細については、Cisco TAC のサポートに問い合わせてください。 これらの値を実際の識別子と、Cisco TAC から提供された応答 URL の値で更新します。 これらの値を取得するには、Cisco AnyConnect クライアント サポート チームにお問い合わせください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
[SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、[証明書 (Base64)] を見つけて、[ダウンロード] を選択し、証明書をダウンロードしてお使いのコンピューターに保存します。
[Cisco AnyConnect のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。
Note
サーバーの複数の TGT をオンボードする場合は、ギャラリーから Cisco AnyConnect アプリケーションの複数のインスタンスを追加する必要があります。 これらすべてのアプリケーション インスタンスについて、Microsoft Entra ID に独自の証明書をアップロードすることもできます。 このようにアプリケーションに同じ証明書を使用できる一方で、アプリケーションごとに異なる識別子と応答 URL を構成することができます。
Microsoft Entra テスト ユーザーを作成する
このセクションでは、B.Simon というテスト ユーザーを作成します。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します。
- "表示名" フィールドに「
B.Simon
」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「
B.Simon@contoso.com
」のように入力します。 - [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
- [Review + create](レビュー + 作成) を選択します。
- "表示名" フィールドに「
- [作成] を選択します。
Microsoft Entra テスト ユーザーを割り当てる
このセクションでは、B.Simon に Cisco AnyConnect へのアクセスを許可することで、このユーザーがシングル サインオンを使用できるようにします。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Cisco AnyConnect] を参照します。
- アプリの概要ページで、[ユーザーとグループ] を選択します。
- [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
- [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
- ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
- [割り当ての追加] ダイアログで、 [割り当て] をクリックします。
Cisco AnyConnect SSO の構成
これは、最初に CLI で実行します。ASDM のチュートリアルは別のタイミングで実行する可能性があります。
VPN アプライアンスに接続します。9.8 code train を実行している ASA を使用することになり、VPN クライアントは 4.6 以降になります。
最初に、Trustpoint を作成し、SAML 証明書をインポートします。
config t crypto ca trustpoint AzureAD-AC-SAML revocation-check none no id-usage enrollment terminal no ca-check crypto ca authenticate AzureAD-AC-SAML -----BEGIN CERTIFICATE----- … PEM Certificate Text from download goes here … -----END CERTIFICATE----- quit
次のコマンドを実行すると、SAML IdP がプロビジョニングされます。
webvpn saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco AnyConnect section in the Azure portal) url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco AnyConnect section in the Azure portal) url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco AnyConnect section in the Azure portal) trustpoint idp AzureAD-AC-SAML trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here) no force re-authentication no signature base-url https://my.asa.com
これで、VPN トンネル構成に SAML 認証を適用できるようになります。
tunnel-group AC-SAML webvpn-attributes saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/ authentication saml end write mem
注意
SAML IdP の構成には回避策があります。 IdP の構成に変更を加えた場合は、変更を有効にするために、トンネル グループから SAML ID プロバイダーの構成を削除し、再度適用する必要があります。
Cisco AnyConnect テスト ユーザーの作成
このセクションでは、Cisco AnyConnect で Britta Simon というユーザーを作成します。 Cisco AnyConnect サポート チームと協力して、Cisco AnyConnect プラットフォームにユーザーを追加してください。 シングル サインオンを使用する前に、ユーザーを作成し、有効化する必要があります。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
- [このアプリケーションをテストします] をクリックすると、SSO を設定した Cisco AnyConnect に自動的にサインインされるはずです
- Microsoft アクセス パネルを使用することができます。 アクセス パネルで [Cisco AnyConnect] タイルをクリックすると、SSO を設定した Cisco AnyConnect に自動的にサインインします。 アクセス パネルの詳細については、アクセス パネルの概要に関する記事を参照してください。
次のステップ
Cisco AnyConnect を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。