教學課程:Microsoft Entra 單一登入 (SSO) 與 Cisco Any 整合連線

  • 發行項

在本教學課程中,您將瞭解如何整合 Cisco Any連線與 Microsoft Entra ID。 在整合 Cisco Any連線與 Microsoft Entra ID 時,您可以.

  • 在 Microsoft Entra 識別碼中控制可存取 Cisco Any連線的人員。
  • 讓使用者使用其 Microsoft Entra 帳戶自動登入 Cisco Any連線。
  • 在一個中央位置管理您的帳戶。

必要條件

若要開始使用,您需要下列專案:

  • Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶
  • 已啟用 Cisco Any連線單一登入 (SSO) 的訂用帳戶。

案例描述

在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。

  • Cisco Any連線支援 由 IDP 起始的 SSO。

若要設定將 Cisco Any連線整合到 Microsoft Entra ID 中,您需要從資源庫將 Cisco Any連線新增到受控 SaaS 應用程式清單。

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [ 身分 > 識別應用程式 > 企業應用程式 > ] [新增應用程式]。
  3. 在 [ 從資源庫 新增] 區段的搜尋方塊中,輸入 Cisco Any連線
  4. 從結果面板選取 [Cisco Any連線 ],然後新增應用程式。 將應用程式新增至您的租使用者時,請稍候幾秒鐘。

或者,您也可以使用 企業應用程式組態精靈 。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解 Microsoft 365 精靈。

設定及測試 Cisco Any 的 Microsoft Entra SSO連線

以名為 B.Simon 的測試使用者,設定及測試與 Cisco Any 搭配運作的 Microsoft Entra SSO連線。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Cisco Any連線 中相關使用者之間的連結關聯性。

若要設定及測試與 Cisco Any連線 搭配運作的 Microsoft Entra SSO,請執行下列步驟:

  1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
    1. 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
    2. 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登入。
  2. 設定 Cisco Any連線 SSO - 在應用程式端設定單一登入設定。
    1. 建立 Cisco Any連線測試使用者 - 使 Cisco Any連線中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表專案。
  3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

請遵循下列步驟來啟用 Microsoft Entra SSO。

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分 > 識別應用程式企業應用程式 >> Cisco Any連線 > Single 登入]。

  3. 在 [ 選取單一登入方法] 頁面上,選取 [SAML ]。

  4. 在 [ 使用 SAML 設定單一登入] 頁面上,按一下 [基本 SAML 組態 ] 的 編輯/手寫筆圖示以編輯設定。

    Edit Basic SAML Configuration

  5. 在 [ 使用 SAML 設定單一登入] 頁面上,輸入下欄欄位的值:

    1. 在 [ 識別碼 ] 文字方塊中,使用下列模式輸入 URL:
      https://<SUBDOMAIN>.YourCiscoServer.com/saml/sp/metadata/<Tunnel_Group_Name>

    2. 在 [ 回復 URL ] 文字方塊中,使用下列模式輸入 URL:
      https://<YOUR_CISCO_ANYCONNECT_FQDN>/+CSCOE+/saml/sp/acs?tgname=<Tunnel_Group_Name>

    注意

    <Tunnel_Group_Name> 會區分大小寫,且值不得包含點 「.」 和斜線 「/」。

    注意

    如需這些值的厘清,請連絡 Cisco TAC 支援。 請使用 Cisco TAC 所提供的實際識別碼和回復 URL 來更新這些值。 請連絡 Cisco Any連線 用戶端支援小組 以取得這些值。 您也可以參考基本 SAML 組態 一節中顯示的 模式。

  6. 在 [ 設定使用 SAML 單一登入] 頁面上的 [SAML 簽署憑證 ] 區段中,尋找 [憑證] [Base64] ,然後選取 [下載 ] 以下載憑證檔案並儲存在電腦上。

    The Certificate download link

  7. 在 [ 設定 Cisco Any連線 區段上,根據您的需求複製適當的 URL。

    Copy configuration URLs

注意

如果您想要在伺服器的多個 TGT 上,您需要從資源庫新增多個 Cisco Any連線 應用程式的實例。 您也可以選擇在所有這些應用程式實例的 Microsoft Entra ID 中上傳您自己的憑證。 如此一來,您可以為應用程式使用相同的憑證,但您可以為每個應用程式設定不同的識別碼和回復 URL。

建立 Microsoft Entra 測試使用者

在本節中,您將建立名為 B.Simon 的測試使用者。

  1. 至少 以使用者管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [ 身分 > 識別使用者 > 所有使用者]。
  3. 選取 畫面頂端的 [新增使用者 > 建立新使用者]。
  4. 在 [ 使用者 屬性] 中,遵循下列步驟:
    1. 在 [ 顯示名稱] 欄位中,輸入 B.Simon
    2. 在 [ 使用者主體名稱] 欄位中,輸入 username@companydomain.extension 。 例如: B.Simon@contoso.com
    3. 選取 [ 顯示密碼] 核取方塊,然後記下 [密碼 ] 方塊中顯示的 值。
    4. 選取 [檢閱 + 建立]。
  5. 選取建立

指派 Microsoft Entra 測試使用者

在本節中,您會將 Cisco Any連線 的存取權授與 B.Simon,讓其能夠使用單一登入。

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [ 身分 > 識別應用程式企業應用程式 >> Cisco Any連線]。
  3. 在應用程式的 [概觀] 頁面中,選取 [ 使用者和群組 ]。
  4. 選取 [新增使用者/群組 ],然後在 [新增指派 ] 對話方塊中選取 [ 使用者和群組 ]。
    1. 在 [ 使用者和群組] 對話方塊中,從 [使用者] 清單中選取 B.Simon ,然後按一下畫面底部的 [ 選取 ] 按鈕。
    2. 如果您預期將角色指派給使用者,您可以從 [選取角色] 下拉式清單中選取該 角色 。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取] 角色。
    3. 在 [ 新增指派] 對話方塊中,按一下 [ 指派 ] 按鈕。

設定 Cisco Any連線 SSO

  1. 您必須先在 CLI 上執行這項操作,您可能會回來,並在另一次執行 ASDM 逐步解說。

  2. 連線 VPN 設備,您將使用執行 9.8 程式碼定型的 ASA,而您的 VPN 用戶端將會是 4.6+ 。

  3. 首先,您將建立 Trustpoint 並匯入我們的 SAML 憑證。

     config t

 crypto ca trustpoint AzureAD-AC-SAML
   revocation-check none
   no id-usage
   enrollment terminal
   no ca-check
 crypto ca authenticate AzureAD-AC-SAML
 -----BEGIN CERTIFICATE-----
 …
 PEM Certificate Text from download goes here
 …
 -----END CERTIFICATE-----
 quit

  4. 下列命令會布建您的 SAML IdP。

     webvpn
 saml idp https://sts.windows.net/xxxxxxxxxxxxx/ (This is your Azure AD Identifier from the Set up Cisco AnyConnect section in the Azure portal)
 url sign-in https://login.microsoftonline.com/xxxxxxxxxxxxxxxxxxxxxx/saml2 (This is your Login URL from the Set up Cisco AnyConnect section in the Azure portal)
 url sign-out https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 (This is Logout URL from the Set up Cisco AnyConnect section in the Azure portal)
 trustpoint idp AzureAD-AC-SAML
 trustpoint sp (Trustpoint for SAML Requests - you can use your existing external cert here)
 no force re-authentication
 no signature
 base-url https://my.asa.com

  5. 現在您可以將 SAML 驗證套用至 VPN 通道組態。

    tunnel-group AC-SAML webvpn-attributes
  saml identity-provider https://sts.windows.net/xxxxxxxxxxxxx/
  authentication saml
end

write mem

    注意

    SAML IdP 設定有一個解決方法。 如果您對 IdP 組態進行變更,您需要從通道群組中移除 saml 身分識別提供者設定,並重新套用它,讓變更生效。

建立 Cisco Any連線測試使用者

在本節中,您會在 Cisco Any 中建立名為 Britta Simon 的使用者連線。 請與 Cisco Any連線支援小組合作 ,在 Cisco Any連線 平臺中新增使用者。 使用者必須先建立並啟用,才能使用單一登入。

測試 SSO

在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

  • 按一下 [ 測試此應用程式 ],您應該會自動登入您已設定 SSO 的 Cisco Any連線
  • 您可以使用 Microsoft 存取面板。 當您在存取面板中按一下 [Cisco Any連線] 圖格時,應該會自動登入您已設定 SSO 的 Cisco Any連線。 如需存取面板的詳細資訊,請參閱 存取面板 簡介。

下一步

設定 Cisco Any連線您可以強制執行會話控制項,以即時防止組織的敏感性資料遭到外泄和滲透。 會話控制項會從條件式存取延伸。 瞭解如何使用 適用於雲端的 Microsoft Defender Apps 強制執行會話控制項。