Duo SSOによるセキュアなファイアウォール管理センターアクセスの設定

Updated: 2023 年 7 月 26 日
Document ID:220639

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、管理アクセス用にシングルサインオン(SSO)で認証するようにSecure Firewall Management Center(FMC)を設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。
    ・シングルサインオンとSAMLの基本的な知識
    ・アイデンティティプロバイダー(iDP)の設定の理解

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
    ・ Cisco Secure Firewall Management Center(FMC)バージョン7.2.4
    ・ IDプロバイダーとしてのDuo

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    次のiDPがサポートされ、認証がテストされています。
    ・オクタ
    ・ OneLogin
    ・ PingID
    ・ Azure AD
    ・その他(SAML 2.0に準拠するiDP)

    note-icon

    :新しいライセンス要件はありません。この機能は、ライセンスモードと評価モードで動作します。


    制限と制限
    FMCアクセスのSSO認証に関する既知の制限事項と制限事項を次に示します。
    ・ SSOはグローバル・ドメインに対してのみ構成できます。
    ・ HAペアに参加するFMCデバイスは、個別に設定する必要があります。
    ・ FMCでSSOを設定できるのはローカル/AD管理者のみです(SSO管理者ユーザはFMCでSSO設定を構成/更新できません)。

    ネットワーク図

    Network Diagram

    アイデンティティプロバイダー(Duo)の設定手順

    ダッシュボードから、Applicationsに移動します。

    URLの例:https://admin-debXXXXX.duosecurity.com/applications

    Navigate to the Applications Tab

    Protect an Applicationを選択します。

    Select Protect an Application

    Generic SAML Service Providerを検索します。

    Search for Generic SAML Service Provider

    証明書とXMLのダウンロード

    Download Certificate and XML

    サービスプロバイダーを設定します。

    SAML設定を入力します。
    シングルサインオンURL:https://<fmc URL>/saml/acs
    対象ユーザーURI (SPエンティティID): https://<fmc URL>/saml/metadata
    デフォルトのリレー状態: /ui/login

    Configure Service Provider


    Apply Policy to All Usersを設定します。

    Configure Apply Policy to All Users

    ポリシーの適用」の詳細

    適切なカスタムポリシーから必要な管理者グループを選択します。

    Detailed Apply a Policy

    必要な管理設定を行います。

    Configure Necessary Administrative Settings

    アプリケションの保存

    Save Application


    Secure Firewall Management Centerでの設定手順


    管理者権限でFMCにログインします。System > Usersの順に移動します。

    Firewall Management Center Users

    次の図に示すように、[シングルサインオン]をクリックします。

    Activate Single Sign-On


    [シングルサインオン]オプションを有効にします(デフォルトでは無効)。

    Enable the Single Sign-On


    Configure SSOをクリックして、FMCでのSSO設定を開始します。

    Configure SSO to Begin SSO Configuration on FMC


    Firewall Management Center SAMLプロバイダーを選択します。[Next] をクリックします。


    このデモンストレーションでは、「その他」を使用します。

    Select Firewall Management Center SAML Provider

    また、Upload XML fileを選択して、Duo Configurationから以前に取得したXMLファイルをアップロードすることもできます。

    Upload XML File


    ファイルがアップロードされると、FMCにメタデータが表示されます。次の図に示すように、Nextをクリックします。

    FMC displays Metadata


    メタデータを確認します。次の図に示すように、Saveをクリックします。

    Verify the Metadata

    Advanced Configurationの下でRole Mapping/Default User Roleを設定します。

    Configure the Role Mapping/Default User Role


    設定をテストするには、次の図に示すようにTest Configurationをクリックします。

    Test the Configuration

    テスト接続の成功例を示します。

    Example of a Successful Test Connection


    Applyをクリックして、設定を保存します。

    Save the Configuration


    SSOが正常に有効になります。

    SSO Enabled Successfully

    確認


    ブラウザからFMCのURL(https://<fmc URL>)に移動します。Single Sign-Onをクリックします。

    Navigate to the FMC URL from your Browser

    iDP(Duo)ログインページが表示されます。SSOクレデンシャルを入力します。Sign inをクリックします。

    DUO Single Sign-On


    正常に完了すると、ログインしてFMCのデフォルトページを表示できます。
    FMCで、System > Usersの順に移動し、データベースに追加されたSSOユーザを表示します。

    User Database

    更新履歴

    改定 発行日 コメント
    1.0
    26-Jul-2023
    初版

    提供

    • Tristan Conner
      情報セキュリティエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています