Dela via


Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med Cisco Secure Firewall – Säker klient

I den här självstudien får du lära dig hur du integrerar Cisco Secure Firewall – Secure Client med Microsoft Entra-ID. När du integrerar Cisco Secure Firewall – Secure Client med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till Cisco Secure Firewall – Secure Client.
  • Gör så att dina användare automatiskt loggas in på Cisco Secure Firewall – Secure Client med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • Cisco Secure Firewall – säker klientprenumeration med enkel inloggning (SSO).

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • Cisco Secure Firewall – Säker klient stöder endast IDP-initierad enkel inloggning.

För att konfigurera integreringen av Cisco Secure Firewall – Secure Client i Microsoft Entra-ID måste du lägga till Cisco Secure Firewall – Secure Client från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du Cisco Secure Firewall – Secure Client i sökrutan.
  4. Välj Cisco Secure Firewall – Säker klient från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för Cisco Secure Firewall – Säker klient

Konfigurera och testa Microsoft Entra SSO med Cisco Secure Firewall – Säker klient med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Cisco Secure Firewall – Secure Client.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med Cisco Secure Firewall – Secure Client:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera Cisco Secure Firewall – SSO för säker klient – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa Cisco Secure Firewall – Testanvändare för säker klient – för att ha en motsvarighet till B.Simon i Cisco Secure Firewall – Säker klient som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Cisco Secure Firewall – Säker klient>enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på ikonen redigera/penna för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Skärmbild som visar hur du redigerar grundläggande SAML-konfiguration.

  5. På sidan Konfigurera enkel inloggning med SAML anger du värdena för följande fält:

    1. I textrutan Identifierare skriver du en URL med följande mönster:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

    2. I textrutan Svars-URL skriver du in en URL med följande mönster:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

    Kommentar

    <Tunnel_Group_Name> är skiftlägeskänsligt och värdet får inte innehålla punkterna "." och snedstrecken "/".

    Kommentar

    Om du vill få ett förtydligande av dessa värden kontaktar du Cisco TAC-supporten. Uppdatera dessa värden med den faktiska identifieraren och svars-URL:en som tillhandahålls av Cisco TAC. Kontakta supportteamet för Cisco Secure Firewall – Secure Client för att få dessa värden. Du kan också referera till de mönster som visas i avsnittet Grundläggande SAML-konfiguration .

  6. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp Certifikat (Base64) och väljer Ladda ned för att ladda ned certifikatfilen och spara den på datorn.

    Skärmbild som visar länken För nedladdning av certifikat.

  7. I avsnittet Konfigurera Cisco Secure Firewall – Secure Client kopierar du lämpliga URL:er baserat på dina behov.

    Skärmbild som visar hur du kopierar konfigurations-URL:er.

Kommentar

Om du vill registrera flera TGT på servern måste du lägga till flera instanser av Cisco Secure Firewall – Secure Client-programmet från galleriet. Du kan också välja att ladda upp ditt eget certifikat i Microsoft Entra-ID för alla dessa programinstanser. På så sätt kan du ha samma certifikat för programmen, men du kan konfigurera olika identifierare och svars-URL för varje program.

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till Cisco Secure Firewall – Secure Client.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Cisco Secure Firewall – Secure Client.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera Cisco Secure Firewall – säker klient-SSO

  1. Du kommer att göra detta på CLI först, du kan komma tillbaka och göra en ASDM-genomgång vid en annan tidpunkt.

  2. Anslut till VPN-installationen kommer du att använda en ASA som kör 9.8-kodtåget och dina VPN-klienter blir 4,6+.

  3. Först skapar du en förtroendepunkt och importerar vårt SAML-certifikat.

     config t
    
     crypto ca trustpoint AzureAD-AC-SAML
       revocation-check none
       no id-usage
       enrollment terminal
       no ca-check
     crypto ca authenticate AzureAD-AC-SAML
     -----BEGIN CERTIFICATE-----
     …
     PEM Certificate Text from download goes here
     …
     -----END CERTIFICATE-----
     quit
    
  4. Följande kommandon etablerar saml-IdP:t.

     webvpn
     saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
     url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
     url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
     trustpoint idp AzureAD-AC-SAML
     trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
     no force re-authentication
     no signature
     base-url https://my.asa.com
    
  5. Nu kan du tillämpa SAML-autentisering på en VPN-tunnelkonfiguration.

    tunnel-group AC-SAML webvpn-attributes
       saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
       authentication saml
    end
    
     write mem
    

    Kommentar

    Det finns ett arbete med SAML IdP-konfigurationen. Om du gör ändringar i IdP-konfigurationen måste du ta bort konfigurationen saml identity-provider från tunnelgruppen och tillämpa den igen för att ändringarna ska börja gälla.

Skapa Cisco Secure Firewall – Testanvändare för säker klient

I det här avsnittet skapar du en användare med namnet Britta Simon i Cisco Secure Firewall – Secure Client. Arbeta med Cisco Secure Firewall – supportteamet för säker klient för att lägga till användarna i Cisco Secure Firewall – Secure Client-plattformen. Användare måste skapas och aktiveras innan du använder enkel inloggning.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

  • Klicka på Testa det här programmet så ska du automatiskt loggas in på Cisco Secure Firewall – Secure Client som du har konfigurerat enkel inloggning för
  • Du kan använda Microsoft Åtkomstpanelen. När du klickar på panelen Cisco Secure Firewall – Secure Client i Åtkomstpanelen bör du automatiskt loggas in på Cisco Secure Firewall – Secure Client som du har konfigurerat enkel inloggning för. Mer information om åtkomstpanelen finns i introduktionen till åtkomstpanelen.

Nästa steg

När du har konfigurerat Cisco Secure Firewall – Secure Client kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.