Aracılığıyla paylaş

Öğretici: Cisco Güvenli Güvenlik Duvarı ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi - Güvenli İstemci

  • Makale

Bu öğreticide Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'yi Microsoft Entra ID ile tümleştirmeyi öğreneceksiniz. Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'yi Microsoft Entra ID ile tümleştirdiğinizde şunları yapabilirsiniz:

  • Microsoft Entra Id'de Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'ye kimlerin erişimi olduğunu denetleyin.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'de otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci çoklu oturum açma (SSO) özellikli abonelik.

Senaryo açıklaması

Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin.

  • Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci yalnızca IDP tarafından başlatılan SSO'ları destekler.

Cisco Güvenli Güvenlik Duvarı ekleme - Galeriden Güvenli İstemci

Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'nin Microsoft Entra Id ile tümleştirilmesini yapılandırmak için, yönetilen SaaS uygulamaları listenize galeriden Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci yazın.
  4. Sonuçlar panelinden Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'yi seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

Cisco Güvenli Güvenlik Duvarı için Microsoft Entra SSO yapılandırma ve test - Güvenli İstemci

B.Simon adlı bir test kullanıcısını kullanarak Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci ile Microsoft Entra SSO'larını yapılandırın ve test edin. SSO'nun çalışması için, Bir Microsoft Entra kullanıcısı ile Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'deki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

Microsoft Entra SSO'yı Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci ile yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. Uygulama tarafında çoklu oturum açma ayarlarını yapılandırmak için Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci SSO'sunu yapılandırın.
    1. Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci testi kullanıcısı oluşturma- Kullanıcının Microsoft Entra gösterimine bağlı Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'de B.Simon'ın bir karşılığına sahip olmak için.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci>Çoklu oturum açma'ya göz atın.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın düzenle/kalem simgesine tıklayın.

    Temel SAML Yapılandırmasını düzenlemeyi gösteren ekran görüntüsü.

  5. SAML ile çoklu oturum açmayı ayarla sayfasında, aşağıdaki alanların değerlerini girin:

    1. Tanımlayıcı metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

    2. Yanıt URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

    Not

    <Tunnel_Group_Name> büyük/küçük harfe duyarlıdır ve değer "." ve eğik çizgi "/" içermemelidir.

    Not

    Bu değerler hakkında daha fazla bilgi edinmek için Cisco TAC desteğine başvurun. Bu değerleri Cisco TAC tarafından sağlanan gerçek Tanımlayıcı ve Yanıt URL'si ile güncelleştirin. Bu değerleri almak için Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci destek ekibine başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.

  6. SAML ile çoklu oturum açmayı ayarlama sayfasında, SAML İmzalama Sertifikası bölümünde Sertifika (Base64) öğesini bulun ve İndir'i seçerek sertifika dosyasını indirin ve bilgisayarınıza kaydedin.

    Sertifika indirme bağlantısını gösteren ekran görüntüsü.

  7. Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci ayarlama bölümünde, gereksinimlerinize göre uygun URL'leri kopyalayın.

    Yapılandırma URL'lerinin kopyalanmasını gösteren ekran görüntüsü.

Not

Sunucunun birden çok TGT'sine eklemek istiyorsanız galeriden Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci uygulamasının birden çok örneğini eklemeniz gerekir. Ayrıca, tüm bu uygulama örnekleri için Microsoft Entra Id'de kendi sertifikanızı karşıya yüklemeyi de seçebilirsiniz. Bu şekilde, uygulamalar için aynı sertifikaya sahip olabilirsiniz ancak her uygulama için farklı Tanımlayıcı ve Yanıt URL'si yapılandırabilirsiniz.

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur'u belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci erişimi vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'ye göz atın.
  3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
    1. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
    2. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
    3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

Cisco Güvenli Güvenlik Duvarını Yapılandırma - Güvenli İstemci SSO

  1. Bunu ilk olarak CLI'da yapacaksınız, başka bir zamanda geri dönüp BIR ASDM kılavuzu gerçekleştirebilirsiniz.

  2. VPN Aletinize Bağlan, 9.8 kodlu bir ASA trenini kullanıyor olacaksınız ve VPN istemcileriniz 4.6+.

  3. İlk olarak bir Trustpoint oluşturacak ve SAML sertifikamızı içeri aktaracaksınız.

     config t

 crypto ca trustpoint AzureAD-AC-SAML
   revocation-check none
   no id-usage
   enrollment terminal
   no ca-check
 crypto ca authenticate AzureAD-AC-SAML
 -----BEGIN CERTIFICATE-----
 …
 PEM Certificate Text from download goes here
 …
 -----END CERTIFICATE-----
 quit

  4. Aşağıdaki komutlar SAML IdP'nizi sağlayacaktır.

     webvpn
 saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
 url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
 url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco Secure Firewall - Secure Client section in the Azure portal)
 trustpoint idp AzureAD-AC-SAML
 trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
 no force re-authentication
 no signature
 base-url https://my.asa.com

  5. Artık BIR VPN Tüneli Yapılandırmasına SAML Kimlik Doğrulaması uygulayabilirsiniz.

    tunnel-group AC-SAML webvpn-attributes
   saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
   authentication saml
end

 write mem

    Not

    SAML IdP yapılandırmasıyla ilgili bir çözüm vardır. IdP yapılandırmasında değişiklik yaparsanız saml identity-provider yapılandırmasını Tünel Grubunuzdan kaldırmanız ve değişikliklerin etkili olması için yeniden uygulamanız gerekir.

Cisco Güvenli Güvenlik Duvarı oluşturma - Güvenli İstemci test kullanıcısı

Bu bölümde Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'de Britta Simon adlı bir kullanıcı oluşturacaksınız. Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci platformunda kullanıcıları eklemek için Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci destek ekibiyle çalışın. Çoklu oturum açma özelliğini kullanmadan önce kullanıcıların oluşturulması ve etkinleştirilmesi gerekir.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

  • Bu uygulamayı test et'e tıkladığınızda, SSO'nun ayarlandığı Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'de otomatik olarak oturum açmanız gerekir
  • Microsoft Erişim Paneli kullanabilirsiniz. Erişim Paneli Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci kutucuğuna tıkladığınızda, SSO'nun ayarlandığı Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'de otomatik olarak oturum açmanız gerekir. Erişim Paneli hakkında daha fazla bilgi için bkz. Erişim Paneli giriş.

Sonraki adımlar

Cisco Güvenli Güvenlik Duvarı - Güvenli İstemci'yi yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.