Tutorial: Azure Ative Directory integração única (SSO) com a Cisco AnyConnect

Neste tutorial, você vai aprender a integrar Cisco AnyConnect com Azure Ative Directory (Azure AD). Quando integrar a Cisco AnyConnect com AZure AD, pode:

  • Control em Azure AD que tem acesso à Cisco AnyConnect.
  • Ativar os seus utilizadores para serem automaticamente inscritos na Cisco AnyConnect com as suas contas AD Azure.
  • Gerencie as suas contas numa localização central - o portal Azure.

Pré-requisitos

Para começar, precisa dos seguintes itens:

  • Uma assinatura AD Azure. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Cisco AnyConnect única subscrição ativada (SSO).

Descrição do cenário

Neste tutorial, você configura e testa Azure AD SSO em um ambiente de teste.

  • Cisco AnyConnect suporta IDP iniciado SSO.

Para configurar a integração da Cisco AnyConnect no AD Azure, é necessário adicionar o Cisco AnyConnect da galeria à sua lista de aplicações geridas pelo SaaS.

  1. Inscreva-se no portal Azure usando uma conta de trabalho ou escola ou uma conta pessoal da Microsoft.
  2. No painel de navegação à esquerda, selecione o serviço Azure Ative Directory .
  3. Navegue para Aplicações Empresariais e, em seguida, selecione Todas as Aplicações.
  4. Para adicionar nova aplicação, selecione Nova aplicação.
  5. Na secção Adicionar a partir da secção de galeria , digite Cisco AnyConnect na caixa de pesquisa.
  6. Selecione Cisco AnyConnect do painel de resultados e, em seguida, adicione a aplicação. Aguarde alguns segundos enquanto a aplicação é adicionada ao seu inquilino.

Em alternativa, também pode utilizar o Assistente de Configuração de Aplicações da Empresa. Neste assistente, pode adicionar uma aplicação ao seu inquilino, adicionar utilizadores/grupos à app, atribuir funções, bem como caminhar pela configuração SSO também. Saiba mais sobre os assistentes microsoft 365.

Em alternativa, também pode utilizar o Assistente de Configuração de Aplicações da Empresa. Neste assistente, pode adicionar uma aplicação ao seu inquilino, adicionar utilizadores/grupos à app, atribuir funções, bem como caminhar pela configuração SSO também. Pode saber mais sobre os assistentes O365 aqui.

Configure e teste Azure AD SSO para Cisco AnyConnect

Configure e teste Azure AD SSO com a Cisco AnyConnect usando um utilizador de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de ligação entre um utilizador Azure AD e o utilizador relacionado na Cisco AnyConnect.

Para configurar e testar o Azure AD SSO com a Cisco AnyConnect, execute os seguintes passos:

  1. Configure Azure AD SSO - para permitir que os seus utilizadores utilizem esta funcionalidade.
    1. Crie um utilizador de teste AD Azure - para testar o Azure AD com B.Simon.
    2. Atribua o utilizador de teste Azure AD - para permitir que b.Simon utilize um único sinal de Azure.
  2. Configure Cisco AnyConnect SSO - para configurar as definições de inscrição única no lado da aplicação.
    1. Create Cisco AnyConnect test user - para ter uma contraparte de B.Simon na Cisco AnyConnect que está ligada à representação AD Ad Azure do utilizador.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o SSO do Azure AD

Siga estes passos para ativar o Azure AD SSO no portal Azure.

  1. No portal Azure, na página de integração da aplicação Cisco AnyConnect , encontre a secção Gerir e selecione um único sinal de sação.

  2. Na página de método de inscrição única, selecione SAML.

  3. No set-on único com a página SAML , clique no ícone edit/pen para Configuração SAML Básica para editar as definições.

    Editar configuração básica de SAML

  4. No set-on único com a página SAML , insira os valores para os seguintes campos (note que os valores são sensíveis a maiússãos):

    1. Na caixa de texto do identificador , digite um URL utilizando o seguinte padrão:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

    2. Na caixa de texto URL de resposta , digite um URL utilizando o seguinte padrão:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

    Nota

    Para obter esclarecimentos sobre estes valores, contacte o suporte da Cisco TAC. Atualize estes valores com o URL de identificação e resposta real fornecido pela Cisco TAC. Contacte a equipa de suporte do Cliente Cisco AnyConnect para obter estes valores. Também pode consultar os padrões indicados na secção de Configuração BÁSICA SAML no portal Azure.

  5. Na configuração de um único sessão de inscrição com a página SAML , na secção Certificado de Assinatura SAML , encontre o Certificado (Base64) e selecione Descarregamento para descarregar o ficheiro de certificado e guardá-lo no seu computador.

    O link de descarregamento de certificado

  6. Na secção Configurar Cisco AnyConnect , copie os URL(s) apropriados com base no seu requisito.

    URLs de configuração de cópia

Nota

Se você gostaria de embarcar em vários TGTs do servidor, então você precisa adicionar várias instâncias da aplicação Cisco AnyConnect da galeria. Também pode optar por fazer o upload do seu próprio certificado em Azure AD para todas estas instâncias de aplicação. Desta forma pode ter o mesmo certificado para as aplicações, mas pode configurar diferentes URL de Identificação e Resposta para cada aplicação.

Criar um utilizador de teste AZure AD

Nesta secção, irá criar um utilizador de teste no portal Azure chamado B.Simon.

  1. A partir do painel esquerdo no portal Azure, selecione O Diretório Ativo Azure, selecione Utilizadores e, em seguida, selecione Todos os utilizadores.
  2. Selecione Novo utilizador na parte superior do ecrã.
  3. Nas propriedades do Utilizador , siga estes passos:
    1. No campo Nome, introduza B.Simon.
    2. No campo nome do utilizador , introduza o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Selecione a caixa de verificação de palavra-passe Show e, em seguida, anote o valor que é apresentado na caixa palavra-passe .
    4. Clique em Criar.

Atribuir o utilizador de teste AZure AD

Nesta secção, você permitirá que B.Simon use a Azure single sign-on, concedendo acesso à Cisco AnyConnect.

  1. No portal Azure, selecione Aplicações empresariais e, em seguida, selecione Todas as aplicações.
  2. Na lista de aplicações, selecione Cisco AnyConnect.
  3. Na página geral da aplicação, encontre a secção Gerir e selecione Utilizadores e grupos.
  4. Selecione Adicionar utilizador e, em seguida, selecione Utilizadores e grupos no diálogo 'Adicionar Atribuição'.
  5. No diálogo de Utilizadores e grupos , selecione B.Simon da lista de Utilizadores e, em seguida, clique no botão Select na parte inferior do ecrã.
  6. Se estiver à espera que uma função seja atribuída aos utilizadores, pode selecioná-la a partir do "Selecione uma redução de função ". Se não tiver sido configurada nenhuma função para esta aplicação, vê a função "Acesso Predefinido" selecionada.
  7. No diálogo 'Adicionar Atribuição ', clique no botão 'Atribuir '.

Configure Cisco AnyConnect SSO

  1. Primeiro vais fazer isto no CLI, podes voltar e fazer uma passagem asdm numa outra altura.

  2. Ligue-se ao seu Aparelho VPN, estará a utilizar um comboio de código ASA que funciona 9.8, e os seus clientes VPN serão 4.6+.

  3. Primeiro, criará um Trustpoint e importará o nosso cert SAML.

     config t
    
     crypto ca trustpoint AzureAD-AC-SAML
       revocation-check none
       no id-usage
       enrollment terminal
       no ca-check
     crypto ca authenticate AzureAD-AC-SAML
     -----BEGIN CERTIFICATE-----
     …
     PEM Certificate Text from download goes here
     …
     -----END CERTIFICATE-----
     quit
    
  4. Os seguintes comandos irão providenciar o seu IdP SAML.

     webvpn
     saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco AnyConnect section in the Azure portal)
     url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco AnyConnect section in the Azure portal)
     url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco AnyConnect section in the Azure portal)
     trustpoint idp AzureAD-AC-SAML
     trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
     no force re-authentication
     no signature
     base-url https://my.asa.com
    
  5. Agora pode aplicar a autenticação SAML numa Configuração do Túnel VPN.

    tunnel-group AC-SAML webvpn-attributes
      saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
      authentication saml
    end
    
    write mem
    

    Nota

    Há um trabalho em torno da configuração DOL IdP. Se efecer alterações na configuração IdP, tem de remover a configuração do fornecedor de identidade saml do seu Grupo de Túneis e reaprplicá-la para que as alterações se tornem eficazes.

Criar cisco AnyConnect utilizador de teste

Nesta secção, cria-se um utilizador chamado Britta Simon em Cisco AnyConnect. Trabalhe com a equipa de suporte da Cisco AnyConnect para adicionar os utilizadores na plataforma Cisco AnyConnect. Os utilizadores devem ser criados e ativados antes de utilizar uma única s ativação.

Teste SSO

Nesta secção, testa a configuração de inscrição única AZure AD com as seguintes opções.

  • Clique em Testar esta aplicação no portal Azure e deverá ser automaticamente inscrito no Cisco AnyConnect para o qual configura o SSO
  • Pode utilizar o Microsoft Access Panel. Quando clicar no azulejo Cisco AnyConnect no Painel de Acesso, deverá ser automaticamente inscrito no Cisco AnyConnect para o qual configura o SSO. Para obter mais informações sobre o Painel de Acesso, consulte Introdução ao Painel de Acesso.

Passos seguintes

Uma vez configurado Cisco AnyConnect, pode impor o controlo da sessão, que protege a exfiltração e infiltração dos dados sensíveis da sua organização em tempo real. O controlo da sessão estende-se desde o Acesso Condicional. Saiba como impor o controlo da sessão com o Microsoft Defender para apps cloud.