Öğretici: Cisco Any ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi Bağlan

  • Makale

Bu öğreticide Cisco Any Bağlan'ı Microsoft Entra ID ile tümleştirmeyi öğreneceksiniz. Cisco Any Bağlan'u Microsoft Entra ID ile tümleştirdiğinizde şunları yapabilirsiniz:

  • Microsoft Entra Id'de Cisco Any Bağlan erişimi olan kişileri denetleme.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla Cisco Any Bağlan'da otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Ön koşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • Cisco Any Bağlan çoklu oturum açma (SSO) özellikli abonelik.

Senaryo açıklaması

Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin.

  • Cisco Any Bağlan IDP tarafından başlatılan SSO'ları destekler.

Cisco Any Bağlan'un Microsoft Entra ID ile tümleştirilmesini yapılandırmak için galerideki Cisco Any Bağlan öğesini yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna Cisco Any Bağlan yazın.
  4. Sonuçlar panelinden Cisco Any Bağlan'ı seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

Cisco Any için Microsoft Entra SSO'ları yapılandırın ve test edin Bağlan

B.Simon adlı bir test kullanıcısı kullanarak Cisco Any Bağlan ile Microsoft Entra SSO'larını yapılandırın ve test edin. SSO'nun çalışması için Microsoft Entra kullanıcısı ile Cisco Any Bağlan'daki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

Microsoft Entra SSO'yı Cisco Any ile yapılandırmak ve test etmek için Bağlan aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. Uygulama tarafında çoklu oturum açma ayarlarını yapılandırmak için Cisco Any Bağlan SSO yapılandırın.
    1. Cisco Any Bağlan test kullanıcısı oluşturun; Cisco Any Bağlan'da kullanıcının Microsoft Entra gösterimine bağlı bir B.Simon benzerine sahip olun.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Cisco Any Bağlan> Single oturum açma'ya göz atın.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın düzenle/kalem simgesine tıklayın.

    Edit Basic SAML Configuration

  5. SAML ile çoklu oturum açmayı ayarla sayfasında, aşağıdaki alanların değerlerini girin:

    1. Tanımlayıcı metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

    2. Yanıt URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

    Dekont

    <Tunnel_Group_Name> büyük/küçük harfe duyarlıdır ve değer "." ve eğik çizgi "/" içermemelidir.

    Dekont

    Bu değerler hakkında daha fazla bilgi edinmek için Cisco TAC desteğine başvurun. Bu değerleri Cisco TAC tarafından sağlanan gerçek Tanımlayıcı ve Yanıt URL'si ile güncelleştirin. Bu değerleri almak için Cisco Any Bağlan İstemci destek ekibine başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.

  6. SAML ile çoklu oturum açmayı ayarlama sayfasında, SAML İmzalama Sertifikası bölümünde Sertifika (Base64) öğesini bulun ve İndir'i seçerek sertifika dosyasını indirin ve bilgisayarınıza kaydedin.

    The Certificate download link

  7. Cisco Any Bağlan ayarlama bölümünde, gereksinimlerinize göre uygun URL'leri kopyalayın.

    Copy configuration URLs

Dekont

Sunucunun birden çok TGT'sine eklemek istiyorsanız galeriden Cisco Any Bağlan uygulamasının birden çok örneğini eklemeniz gerekir. Ayrıca, tüm bu uygulama örnekleri için Microsoft Entra Id'de kendi sertifikanızı karşıya yüklemeyi de seçebilirsiniz. Bu şekilde, uygulamalar için aynı sertifikaya sahip olabilirsiniz ancak her uygulama için farklı Tanımlayıcı ve Yanıt URL'si yapılandırabilirsiniz.

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur seçeneğini belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, Cisco Any Bağlan erişimi vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Cisco Any Bağlan'a göz atın.
  3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
    1. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
    2. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
    3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

Cisco Any Bağlan SSO yapılandırma

  1. Bunu ilk olarak CLI'da yapacaksınız, başka bir zamanda geri dönüp BIR ASDM kılavuzu gerçekleştirebilirsiniz.

  2. VPN Aletinize Bağlan, 9.8 kodlu bir ASA trenini kullanıyor olacaksınız ve VPN istemcileriniz 4.6+.

  3. İlk olarak bir Trustpoint oluşturacak ve SAML sertifikamızı içeri aktaracaksınız.

     config t

 crypto ca trustpoint AzureAD-AC-SAML
   revocation-check none
   no id-usage
   enrollment terminal
   no ca-check
 crypto ca authenticate AzureAD-AC-SAML
 -----BEGIN CERTIFICATE-----
 …
 PEM Certificate Text from download goes here
 …
 -----END CERTIFICATE-----
 quit

  4. Aşağıdaki komutlar SAML IdP'nizi sağlayacaktır.

     webvpn
 saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco AnyConnect section in the Azure portal)
 url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco AnyConnect section in the Azure portal)
 url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco AnyConnect section in the Azure portal)
 trustpoint idp AzureAD-AC-SAML
 trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
 no force re-authentication
 no signature
 base-url https://my.asa.com

  5. Artık BIR VPN Tüneli Yapılandırmasına SAML Kimlik Doğrulaması uygulayabilirsiniz.

    tunnel-group AC-SAML webvpn-attributes
  saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
  authentication saml
end

write mem

    Dekont

    SAML IdP yapılandırmasıyla ilgili bir çözüm vardır. IdP yapılandırmasında değişiklik yaparsanız saml identity-provider yapılandırmasını Tünel Grubunuzdan kaldırmanız ve değişikliklerin etkili olması için yeniden uygulamanız gerekir.

Cisco Any Bağlan test kullanıcısı oluşturma

Bu bölümde Cisco Any Bağlan'da Britta Simon adlı bir kullanıcı oluşturacaksınız. Cisco Any Bağlan destek ekibiyle birlikte çalışarak kullanıcıları Cisco Any Bağlan platformuna ekleyin. Çoklu oturum açma özelliğini kullanmadan önce kullanıcıların oluşturulması ve etkinleştirilmesi gerekir.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

  • Bu uygulamayı test et'e tıklayın ve SSO'nun ayarlandığı Cisco Any Bağlan'da otomatik olarak oturum açmanız gerekir
  • Microsoft Erişim Paneli kullanabilirsiniz. Erişim Paneli Cisco Any Bağlan kutucuğuna tıkladığınızda, SSO'nun ayarlandığı Cisco Any Bağlan'da otomatik olarak oturum açmanız gerekir. Erişim Paneli hakkında daha fazla bilgi için bkz. Erişim Paneli giriş.

Sonraki adımlar

Cisco Any'ı yapılandırdıktan sonra Bağlan kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.